标签: audit

我希望能够知道谁以及何时触摸了文件。我的最后一个问题表明我不能依赖 NTFS。

我需要找出安装程序所做的所有文件系统修改。最有可能安装的包是 rpm 或 deb，但应用程序当然可以简单地复制或编译并使用 configure;make;make install 方式安装。即使 rpm 和 deb 有文件列表，它们的安装后脚本也可以进行额外的文件系统修改。

我首先去寻找可以监视另一个应用程序以查找另一个应用程序所做的所有文件系统修改的应用程序。我没有找到。

接下来我研究了分层文件系统，在开始安装应用程序之前，我想我会放入一个分层文件系统，然后将应用程序安装在分层文件系统上，然后找出该层中发生的所有修改。我能找到的最好的是mini_fo但它似乎自 2006 年以来就没有得到维护。它似乎也不能只是覆盖在 / （这会隐藏层中的一些东西）。

然后我研究了基于 inotify 的解决方案，但从 / 开始监视所有内容似乎是不切实际的。例如，inotifywatch (linux.die.net/man/1/inotifywatch) 提到默认手表的限制只有 8k。安装观察者也需要一些时间。似乎也存在错误，新创建的目录不会立即被监视，因此可能会错过它们中的更改。

除了在安装前后从文件系统中获取快照并进行比较之外，还有其他方法可以实现我想要做的事情吗？

我们有很多服务器（运行 Windows 和 Ubuntu）以及 Cisco 和 Juniper 路由器以及 HP Procurve 交换机。我们有一些系统管理员喜欢在不告诉任何人或在任何地方记录它的情况下更改配置。你可以想象这会如何在你的脸上爆炸。

是否有任何软件可以记录和审核 Windows、Linux 和 Cisco 设备中的配置更改？或者如果没有软件，也许有一些政策可以有效地阻止这种行为？

我可以轻松确定服务器是 Win2k3、2k8、标准版、企业版、x86、x64，但我找不到确定它是第 1 版还是第 2 版的方法。HP Systems Insight Manager 以某种方式对其进行管理。

啊！

显然，OpenVAS 起源于 Nessus 的一个分支。安装和使用 OpenVAS 非常容易，因为它是开放的。但是，如果我只是使用它而不是 Nessus，我是在开玩笑吗？我应该同时使用两者，或者如果我使用 Nessus 那么 OpenVAS 是否超出要求？

将其分解为非主观的子问题： * openvas 是 nessus 的超集还是子集？* 一个更新比另一个更频繁吗？* 是否有一个比另一个更大的漏洞数据库？* ...或者我可能遗漏了其他质量差异吗？

我正在尝试确定可以执行 Exchange 安全监控的工具。理想情况下，这些工具应该能够处理以下内容：

• 高风险邮箱的权限更改
• 多个连接到同一个邮箱

如果无需对交易所进行重大重新配置即可部署，则可以获得奖励积分。

有什么类似的吗？

我在 CentOS 5.8 final

我最近安装了auditd通过yum install audit但是我无法启动它。

我编辑了配置文件以给出它在启动时收到的错误的详细输出，这是输出：

# service auditd start
Starting auditd: Config file /etc/audit/auditd.conf opened for parsing
log_file_parser called with: /var/log/audit/audit.log
log_format_parser called with: RAW
log_group_parser called with: root
priority_boost_parser called with: 4
flush_parser called with: INCREMENTAL
freq_parser called with: 20
num_logs_parser called with: 4
qos_parser called with: lossy
dispatch_parser called with: /sbin/audispd
name_format_parser called with: NONE
max_log_size_parser called with: 5
max_log_size_action_parser called with: ROTATE
space_left_parser called with: 75
space_action_parser called with: SYSLOG …

是否可以列出系统上不属于包的每个文件？或者如果它们已被修改？

可能需要使用类似的东西：apt-get、apt-files、dpkg-query 等

对于上下文，想象一下继承一个无法格式化的旧服务器，并且您想检查每个文件是否应该是这样......我知道在 Debian 版本之间升级或删除后不会出现这种情况一个没有“--purge”的包，因为它似乎留下了很多（通常是配置）文件。

同样，如果要用新服务器替换该服务器，您需要确保所有配置差异（与基本安装相比）都已转移（如果不再相关，则将其忽略 - 例如添加了胭脂“端口”行到 sshd_config）。

它还有助于确定是否在不使用 apt-get 的情况下安装了任何东西。

我一直在照看一些 Debian 机器，偶尔我会看到网络流量出现大幅飙升。我正在用石墨绘制指标（由每分钟收集每个接口指标的 sensu 检查提供），偶尔会看到这样的事情：

我不知道是什么导致了这种情况，因为在它进行时我从来没有设法抓住它。找出导致这种情况的原因会很好，那么尝试找出这可能是什么的最佳方法是什么？

我想我真正想要的是：如果发送/接收的数据量超过一定数量或速率，是否有办法审核网络连接（和进程 ID/名称）？

我的服务器是centos7.6，auditd 2.8.5

在审计规则中，我设置了：
-a always,exit -F arch=b32 -S adjtimex,settimeofday -F key=time-change
但是这个规则也记录了正常的ntpd活动，然后我试着把这个规则修改为：

-a always,exit -F arch=b32 -S adjtimex,settimeofday,stime -F subj_type!=ntpd_t  -F auid!=chrony -F auid!=ntp -F auid!=chrony -F auid!=ntp -F key=time-change

应该使用auid!=ntp还是uid!=ntp? 我检查了手册：

每个域间方程以及以 -F 开头的方程相互关联以触发审核记录。支持 2 个运算符 - 相等和不相等。有效字段为：auid、uid、euid、suid、fsuid、obj_uid、gid、egid、sgid、fsgid、obj_gid

我很困惑，auid, uid, euid, suid, fsuid, obj_uid, gid, egid, sgid, fsgid, obj_gid in 有auditctl什么区别？