すべての変更を記録できるように、auditdを使用して特定のディレクトリを監視したいと思います。以下を使用してルールを作成しました。
auditctl -w /etc/my_path_to_monitor -p wa -k my_rule
これはこれまでにテストしたすべてのものにうまく機能します。とは別にchattr次の変更を使用してください。
chattr +S /etc/my_path_to_monitor/a_file
auditdを使用してもchattrログメッセージは生成されません。このような変更を監査するために auditd をどのように使用できますか?
アップデート:見つかりました古代ラインchattrシステムコールを記録しない auditd 情報。 auditd呼び出しを記録しますが、影響を受けるファイルに関連付けられていないため、まだ輻輳状態です。
答え1
マニュアルを読んで、設定について同じ結論に達し、ロギングでも同じ結果を得ました。実験の結果、以下の構成で目的を達成できることが確認されました。
auditctl -w /etc/my_path_to_monitor -p warx -k my_rule
auditさらに構成する予定の場合は、追加のauditリソースを提供してください。Red Hat セキュリティ技術実装ガイドDISA(Defense Information Systems Agency)によって開発されたSTIG(STIG)は、優れたルール基準を持っていますaudit。これは、使用しているすべてのLinuxディストリビューションにまだほとんど適用され、使用しているシステムに合わせてわずかな補間が適用されることがあります。