FreeBSD:ファイルとフォルダを開いたり、読み込んだり、移動したり、削除したり、変更したりしたときに監査を使用して記録する方法は?

FreeBSD:ファイルとフォルダを開いたり、読み込んだり、移動したり、削除したり、変更したりしたときに監査を使用して記録する方法は?

auditdファイルとフォルダを開いたり、読んだり、移動したり、削除したり、変更したりするときにロギングをどのように使用しますか?データの確認ここ、タスクを完了する方法がわかりません。

FreeBSDシステムからフォルダとファイルのアクセス/変更ログを取得しようとしています。ファイルアクセスはSamba共有を介して行われ、SMBを介してログインしますが、まれにSMBがイベントを記録しないことがあります(たとえば、今日のフォルダを移動したときに記録されていませんが、後でフォルダを移動して記録しました)。だからもう少し正確な選択肢を探しています。

修正するauditdFreeNAS 11 FreeBSDシステムで動作しないことは次のとおりです。

カーネルがコンパイルされたオプションを確認してください(AUDITを探してください):

sysctl kern.conftxt | grep AUDIT
> options   AUDIT

私のもの/etc/security/audit_control

#
# $FreeBSD$
#
dir:/var/audit
dist:off
flags:lo,aa,fr,fw,cl,fa,fc,fd
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

私のもの/etc/security/audit_user

#
# $FreeBSD$
#
testuser:lo,aa,fr,fw,cl,fa,fc,fd:no
root:lo:no

service auditd restart && service auditd status結果:

Trigger sent.
Starting auditd.
auditd is running as pid 45763.

man audit_userページベース

フラグフィールドは、属性イベントに対してシステム全体で事前に選択されたデフォルトマスクを設定します。上記の例では、すべてのユーザーの成功と失敗のログイン/ログアウトイベントだけでなく、認証と承認も監査されます。

少なくともtestuserとrootのログイン/ログアウトログを取得する必要があります。ので:

ユーザー固有およびグローバル監査事前選択構成はログイン時に評価されるため、事前選択関連監査変更を適用するには、ユーザーがログアウトしてから再度ログインする必要があります。

その後、sshを介してログアウトし、testuserとして再度ログインし、いくつかのディレクトリとファイルを作成して削除しました。 SMB共有で同じことを行い、rootとしてログインしてトレースを確認しました。

praudit /var/audit/current結果:

header,56,11,audit startup,0,Fri May 24 09:50:23 2019, + 398 msec
text,auditd::Audit startup
return,success,0
trailer,56

次のコマンドを使用して、利用可能なすべてのパスを確認しますpraudit /var/audit/*

header,56,11,audit startup,0,Wed May 22 14:41:33 2019, + 781 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,56,11,audit startup,0,Thu May 23 18:44:10 2019, + 766 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,56,11,audit startup,0,Thu May 23 18:54:51 2019, + 31 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,56,11,audit startup,0,Thu May 23 18:55:04 2019, + 451 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,56,11,audit startup,0,Thu May 23 18:55:04 2019, + 451 msec
text,auditd::Audit startup
return,success,0
trailer,56

ログは表示されません。

答え1

説明16.3。監査の構成実際には非常に明確でポイントがあります。あなたはあなたが試して学んだことを説明することなく質問をします。しかし、段階的に案内してみましょう。一般的に言えば、他のサービスと同様にサービスを開始するだけです。出力を確認してください。その後、適切に変更します。

まず、監査サブシステムを起動する方法のセクションに従います。

sysrc auditd_enable=YES

サービスを開始します。

service auditd start

本当に簡単です!これで、システムで監査が実行されています。それでは、見てみましょう。16.3.2.1. audit_controlファイル:

dir:/var/audit
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

dirとを記録してくださいflags。まず、/var/audit指定されたディレクトリを見てくださいdirauditd実行すると、2つの新しいファイルが表示されます。日付で指定されたアクティビティログファイル.not_terminatedと名前current。ここにログが保存されます。このファイルを参照すると、バイナリ形式であることがわかります。それでは、トリックを使って次の章を見てみましょう。16.4。監査証跡の使用。これは、私たちがprauditプレーンテキストを取得するために使用したものを示しています。システムに再度ログインし、次のコマンドを使用して記録される方法を確認します。

praudit /var/audit/current

次のようになります。

header,56,11,audit startup,0,Thu May 23 16:18:46 2019, + 609 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,97,11,OpenSSH login,0,Thu May 23 16:21:03 2019, + 443 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,successful login clan
return,success,0
trailer,97
header,92,11,logout - local,0,Thu May 23 16:21:15 2019, + 90 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,sshd logout clan
return,success,0
trailer,92

まず、auditdの始まりを見てください。これにより、ログインした外観を見ることができます。その後、ログアウトしてください。

これでレビューシステムが利用できることを確認しました。その後、特定の要件を確認します。あなたは以下を要求します:

開く、読み取り、移動、削除、または変更

それではテーブルを見てみましょうか?16.3.1.イベント選択表現最も関連性の高いアイテムを探してください。

fr  file read   Audit events in which data is read or files are opened for reading.
fw  file write  Audit events in which data is written or files are written or modified.
cl  file close  Audit calls to the close system call.

おそらくあなたは次に興味があるでしょう:

fa  file attribute access   Audit the access of object attributes such as stat(1) and pathconf(2).
fc  file create Audit events where a file is created as a result.
fd  file delete Audit events where file deletion occurs.

flagsこの知識に基づいて、以下を設定できます/etc/security/audit_control

flags:fr,fw,cl,fa,fc,fd

またはデフォルト値を維持したい場合:

flags:lo,aa,fr,fw,cl,fa,fc,fd

必要なものをすべて取得できなかったと思われる場合は、all必要なイベントクラスを確認してください。

flags:all

auditd変更を適用するには再起動してください。

service auditd restart

これまで、これはシステム全体にわたって行われました。調停を特定のユーザーに制限するには、次の手順を実行します/etc/security/audit_user

sambauser:fr,fw,cl,fa,fc,fd:no

これをさらに細かく調整し、成功イベントまたは失敗イベントのみを希望するかどうかを指定することもできます。

男を覚えて

FreeBSDには一般的にかなり良いドキュメントがあることに注意してください。すでに参照されているFreeBSDマニュアルに加えて、次の優れたツールがありますman

man auditd
man audit_config
man praudit

マニュアルページは最新の状態であり、貴重で簡単にアクセスできるシステム情報がたくさん含まれています。必要に応じてブラウザを使用できます。オンライン

関連情報