ユーザーコマンドを記録するためにFreeBSD 13でauditdを設定する

ユーザーコマンドを記録するためにFreeBSD 13でauditdを設定する

(「exec」)および(「administrative」)監査クラスを次に追加して/etc/security/audit_controlこれを実行しました。exadflags

flags:lo,aa,ex,ad

サービスを有効にして開始しました。

service auditd enable
service auditd start

これで実行しましたが、praudit /dev/auditpipe他の端末でコマンドを実行すると何も印刷されません。ユーザーログインイベントは表示できますが、コマンドは表示できません。

header,97,11,su(1),0,Sun Nov  6 18:48:54 2022, + 32 msec
subject,-1,root,wheel,root,wheel,77911,77911,0,0.0.0.0
text,successful authentication
return,success,0
trailer,97

私は何を見逃していますか?

# cat /etc/security/audit_control
#
# $FreeBSD$
#
dir:/var/audit
dist:off
flags:lo,aa,ex,ad
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

答え1

/etc/security/audit_control監査サービスを変更して開始した後(audit -sまたはサービスがすでに実行されている場合はrootとして実行)、ユーザーがログインすると新しい設定が適用されます。ログインしたユーザーは変更された構成では監査されません。これはaudit_user(5)手動:

このaudit_userファイルは、特定のユーザーに対して監査する監査イベント・クラスを指定します。指定した場合、これらのフラグはファイル内のシステム全体の監査フラグと組み合わせて、audit_control(5)このユーザーに対して監査されるイベントカテゴリを決定します。 これらの設定は、ユーザーがログインしたときに適用されます。

(「この設定」は、ファイルだけでなく2つのファイルの設定も示しますaudit_user。)

ex以前と同様に、設定にadフラグを追加してrootとして実行し(すでに監査が有効になっているため)、別の行にログインしてを入力すると、コマンドで生成された監査ログに次のものが表示されます。audit_controlaudit -slsls

header,119,11,execve(2),0,Tue Nov  8 07:00:53 2022, + 503 msec
exec arg,ls,-F
path,/bin/ls
attribute,555,root,wheel,1425188585,14654,629136184
subject,myself,myself,myself,myself,myself,21223,21212,57410,192.168.1.107
return,success,0
trailer,119
header,148,11,execve(2),0,Tue Nov  8 07:00:53 2022, + 510 msec
exec arg,git,rev-parse,--git-dir
path,/usr/local/bin/git
attribute,755,root,wheel,1425188585,279022,407440184
subject,myself,myself,myself,myself,myself,21224,21212,57410,192.168.1.107
return,success,0
trailer,148

インタラクティブシェルのプロンプトの結果、showコマンドの2番目のエントリにlsエイリアスを指定したことがわかります。ls -Fgit

関連情報