auditd
ファイルとフォルダを開いたり、読んだり、移動したり、削除したり、変更したりするときにロギングをどのように使用しますか?データの確認ここ、タスクを完了する方法がわかりません。
FreeBSDシステムからフォルダとファイルのアクセス/変更ログを取得しようとしています。ファイルアクセスはSamba共有を介して行われ、SMBを介してログインしますが、まれにSMBがイベントを記録しないことがあります(たとえば、今日のフォルダを移動したときに記録されていませんが、後でフォルダを移動して記録しました)。だからもう少し正確な選択肢を探しています。
修正するauditd
FreeNAS 11 FreeBSDシステムで動作しないことは次のとおりです。
カーネルがコンパイルされたオプションを確認してください(AUDITを探してください):
sysctl kern.conftxt | grep AUDIT
> options AUDIT
私のもの/etc/security/audit_control
#
# $FreeBSD$
#
dir:/var/audit
dist:off
flags:lo,aa,fr,fw,cl,fa,fc,fd
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M
私のもの/etc/security/audit_user
:
#
# $FreeBSD$
#
testuser:lo,aa,fr,fw,cl,fa,fc,fd:no
root:lo:no
service auditd restart && service auditd status
結果:
Trigger sent.
Starting auditd.
auditd is running as pid 45763.
man audit_user
ページベース
フラグフィールドは、属性イベントに対してシステム全体で事前に選択されたデフォルトマスクを設定します。上記の例では、すべてのユーザーの成功と失敗のログイン/ログアウトイベントだけでなく、認証と承認も監査されます。
少なくともtestuserとrootのログイン/ログアウトログを取得する必要があります。ので:
ユーザー固有およびグローバル監査事前選択構成はログイン時に評価されるため、事前選択関連監査変更を適用するには、ユーザーがログアウトしてから再度ログインする必要があります。
その後、sshを介してログアウトし、testuserとして再度ログインし、いくつかのディレクトリとファイルを作成して削除しました。 SMB共有で同じことを行い、rootとしてログインしてトレースを確認しました。
praudit /var/audit/current
結果:
header,56,11,audit startup,0,Fri May 24 09:50:23 2019, + 398 msec
text,auditd::Audit startup
return,success,0
trailer,56
次のコマンドを使用して、利用可能なすべてのパスを確認しますpraudit /var/audit/*
。
header,56,11,audit startup,0,Wed May 22 14:41:33 2019, + 781 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,56,11,audit startup,0,Thu May 23 18:44:10 2019, + 766 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,56,11,audit startup,0,Thu May 23 18:54:51 2019, + 31 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,56,11,audit startup,0,Thu May 23 18:55:04 2019, + 451 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,56,11,audit startup,0,Thu May 23 18:55:04 2019, + 451 msec
text,auditd::Audit startup
return,success,0
trailer,56
ログは表示されません。
答え1
説明16.3。監査の構成実際には非常に明確でポイントがあります。あなたはあなたが試して学んだことを説明することなく質問をします。しかし、段階的に案内してみましょう。一般的に言えば、他のサービスと同様にサービスを開始するだけです。出力を確認してください。その後、適切に変更します。
まず、監査サブシステムを起動する方法のセクションに従います。
sysrc auditd_enable=YES
サービスを開始します。
service auditd start
本当に簡単です!これで、システムで監査が実行されています。それでは、見てみましょう。16.3.2.1. audit_controlファイル:
dir:/var/audit
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M
dir
とを記録してくださいflags
。まず、/var/audit
指定されたディレクトリを見てくださいdir
。auditd
実行すると、2つの新しいファイルが表示されます。日付で指定されたアクティビティログファイル.not_terminated
と名前current
。ここにログが保存されます。このファイルを参照すると、バイナリ形式であることがわかります。それでは、トリックを使って次の章を見てみましょう。16.4。監査証跡の使用。これは、私たちがpraudit
プレーンテキストを取得するために使用したものを示しています。システムに再度ログインし、次のコマンドを使用して記録される方法を確認します。
praudit /var/audit/current
次のようになります。
header,56,11,audit startup,0,Thu May 23 16:18:46 2019, + 609 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,97,11,OpenSSH login,0,Thu May 23 16:21:03 2019, + 443 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,successful login clan
return,success,0
trailer,97
header,92,11,logout - local,0,Thu May 23 16:21:15 2019, + 90 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,sshd logout clan
return,success,0
trailer,92
まず、auditdの始まりを見てください。これにより、ログインした外観を見ることができます。その後、ログアウトしてください。
これでレビューシステムが利用できることを確認しました。その後、特定の要件を確認します。あなたは以下を要求します:
開く、読み取り、移動、削除、または変更
それではテーブルを見てみましょうか?16.3.1.イベント選択表現最も関連性の高いアイテムを探してください。
fr file read Audit events in which data is read or files are opened for reading.
fw file write Audit events in which data is written or files are written or modified.
cl file close Audit calls to the close system call.
おそらくあなたは次に興味があるでしょう:
fa file attribute access Audit the access of object attributes such as stat(1) and pathconf(2).
fc file create Audit events where a file is created as a result.
fd file delete Audit events where file deletion occurs.
flags
この知識に基づいて、以下を設定できます/etc/security/audit_control
。
flags:fr,fw,cl,fa,fc,fd
またはデフォルト値を維持したい場合:
flags:lo,aa,fr,fw,cl,fa,fc,fd
必要なものをすべて取得できなかったと思われる場合は、all
必要なイベントクラスを確認してください。
flags:all
auditd
変更を適用するには再起動してください。
service auditd restart
これまで、これはシステム全体にわたって行われました。調停を特定のユーザーに制限するには、次の手順を実行します/etc/security/audit_user
。
sambauser:fr,fw,cl,fa,fc,fd:no
これをさらに細かく調整し、成功イベントまたは失敗イベントのみを希望するかどうかを指定することもできます。
男を覚えて
FreeBSDには一般的にかなり良いドキュメントがあることに注意してください。すでに参照されているFreeBSDマニュアルに加えて、次の優れたツールがありますman
。
man auditd
man audit_config
man praudit
マニュアルページは最新の状態であり、貴重で簡単にアクセスできるシステム情報がたくさん含まれています。必要に応じてブラウザを使用できます。オンライン