这个问题与我之前的问题有关:记录管理员在生产服务器上运行的所有命令
管理员通过个人用户名登录服务器,然后运行sudo -i成为 root ,这是公司的政策。运行时sudo -i,sudo 将创建一个名为 的环境变量SUDO_USER,其中包含原始用户的用户名。
是否可以auditd在每个命令的日志中包含此变量?或功能等价物。
这是当前的规则集auditd:
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Log any command run on this system
#-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
audit.rules在CentOS 5、6 和 7 上的默认文件中,设置以下内容:
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
但没有提及所提供的数字是什么单位。
的手册页auditctl不清楚:
OPTIONS
-b backlog
Set max number of outstanding audit buffers allowed
(Kernel Default=64) If all buffers are full, the
failure flag is consulted by the kernel for action.
我见过对此值的建议,其中包含大量可能的数字(320、8192,一直到 32768 及以上)。
我想确保我设置的值是合理的,并且我不仅仅是掩盖低效audit.rules文件的痕迹。
内核/审计缓冲区是否有某种隐含的大小?这里的建议是什么?
我的服务器是centos7.6,auditd 2.8.5
在审计规则中,我设置了:
-a always,exit -F arch=b32 -S adjtimex,settimeofday -F key=time-change
但是这个规则也记录了正常的ntpd活动,然后我试着把这个规则修改为:
-a always,exit -F arch=b32 -S adjtimex,settimeofday,stime -F subj_type!=ntpd_t -F auid!=chrony -F auid!=ntp -F auid!=chrony -F auid!=ntp -F key=time-change
应该使用auid!=ntp还是uid!=ntp? 我检查了手册:
每个域间方程以及以 -F 开头的方程相互关联以触发审核记录。支持 2 个运算符 - 相等和不相等。有效字段为:auid、uid、euid、suid、fsuid、obj_uid、gid、egid、sgid、fsgid、obj_gid
我很困惑,auid, uid, euid, suid, fsuid, obj_uid, gid, egid, sgid, fsgid, obj_gid in 有auditctl什么区别?
知道为什么以下不起作用吗?它挂起没有输出。
desktop$ ssh myserver "sudo ausearch -k my_key"
但是,以下工作。它从auditd 输出这个key 的审计历史。
desktop$ ssh myserver
myserver$ sudo ausearch -k my_key
以下也有效。(意思是, sudo 当前未设置为需要密码。)
desktop$ ssh myserver "sudo ls"
在/etc/audit/audit.rulesCentos7的顶部它告诉我:
## This file is automatically generated from /etc/audit/rules.d
好的,所以我去寻找,并找到了/etc/audit/rules.d/audit.rules。它有以下行
# Feel free to add below this line. See auditctl man page
我做了,发现看起来可能是这个选项:
-R file
Read rules from a file. The rules must be 1 per line and in the order that they are to be executed in. The rule file must be
owned by root and not readable by other users or it will be rejected. The rule file may have comments embedded …从 CoreOs 766 开始,审计子系统部分集成:
内核中已启用审计子系统,并将 auditctl 添加到映像中。大多数审计事件默认被忽略。审计规则可以在/etc/audit/rules.d 中修改。请注意,auditd 不包括在内,而 journald 负责记录事件,尽管它是一种尽力而为的机制。与基于auditd 的系统不同,如果journald 由于某种原因未能记录事件,内核不会恐慌。
为了审计 899 和 alpha 1000 CoreOs 版本上的系统调用,我尝试了以下方法。
# starting a new periodic process:
$ while true; do echo "coreos ..." > /tmp/a.txt && sleep 5s; done &
[1] 4509
# get its pid and add a new audit rule:
$ sudo auditctl -a always,exit -F arch=b64 -S read,write,close,dup2,wait4 -F pid=4509
# wait 5 minutes and check if any audit related event was logged into by …auditd 可以使用日期而不是整数来命名其轮换的审计日志吗?现在我有
audit.log
audit.log.1
audit.log.2
...
当audit.log填满所有的文件都是旋转一个数字更高。我有一个备份审计日志的脚本,tar当它看到所有文件在它下面移动时会感到困惑。我想按日期命名文件,这样它们在audit.log填满时就不会全部移动。