Linux監査ルールは、msg exeタイプに基づいてsuコマンドを除外します。

Linux監査ルールは、msg exeタイプに基づいてsuコマンドを除外します。

私のaudit.logでは、次のイベントが繰り返し発生します。誰かがこれら6つの特定のエントリをブロックするaudit.rulesファイルルールの有効な構文を提供できますか?

type=理想的には、フィルタを以下に示す6つだけでなく、および、およびuid=0にもauid-4294967295使用できるようにしたいと思います。ses=4294967295exe=/bin/suresult=success

リモートで可能ですか?

-F msgtype=USER_AUTHこのフラグはルールでのみ機能することがわかりました。-a exclude除外フラグと一緒に他のフラグを使用することはできません-F auid=4294967295。たとえば、すべてのUSER_AUTHタイプを除外することはできず、基本イベントを見逃すことはできません。

node=testserver type=USER_AUTH  msg=audit(1480608618.705:570): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=USER_ACCT  msg=audit(1480608618.705:571): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="efadmin"     exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=CRED_ACQ   msg=audit(1480608618.705:572): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="efadmin"        exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=USER_START msg=audit(1480608618.705:573): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:session_open acct="efadmin"   exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=USER_END   msg=audit(1480608618.817:574): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:session_close acct="efadmin"  exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=CRED_DISP  msg=audit(1480608618.817:575): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="efadmin"        exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'

関連情報