私はipv4転送を有効にする/proc/sys/net/ipv4/ip_forwardファイルに何があるかを確認しようとしました。 (それはdockerであることがわかりましたが、まだ私のauditdの問題を理解したかったのです。)ので、監査ルールを作成することにしました。 :
-w /proc/sys/net/ipv4/ip_forward -p wa -k ip4forward
問題は、ルールを手動で発行した場合にのみルールがロードされることです。
augenrules --load
簡単なアクションでsystemctl restart auditd
このルールを消去できます。これは、起動中にこの内容が消去されることを意味します。
私の/etc/audit/rules.d/audit.rulesファイルの内容(ディレクトリのルールファイルのみ):
-D
-b 8192
--backlog_wait_time 60000
-f 1
-w /proc/sys/net/ipv4/ip_forward -p wa -k ip4forward
-w /etc/fstab -p rwa -k fstab
auditd 再起動の例:
$ sudo systemctl restart auditd
$ sudo auditctl -l
-w /etc/fstab -p rwa -k fstab #<- Only this rule loads
Augenrules 実行の例:
$ sudo augenrules --load
/usr/sbin/augenrules: No change
No rules
enabled 1
failure 1
pid 3116
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 3116
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 3116
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 3116
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 3116
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0
$ sudo auditctl -l
-w /proc/sys/net/ipv4/ip_forward -p wa -k ip4forward
-w /etc/fstab -p rwa -k fstab
$ sudo systemctl status auditd
● auditd.service - Security Auditing Service
Loaded: loaded (/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2023-12-11 16:42:29 EST; 6min ago
Docs: man:auditd(8)
https://github.com/linux-audit/audit-documentation
Process: 3114 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Process: 3119 ExecStartPost=/sbin/augenrules --load (code=exited, status=0/SUCCESS)
Main PID: 3116 (auditd)
Tasks: 2 (limit: 9346)
Memory: 548.0K
CPU: 125ms
CGroup: /system.slice/auditd.service
└─3116 /sbin/auditd
Dec 11 16:42:29 ubuntu augenrules[3130]: enabled 1
Dec 11 16:42:29 ubuntu augenrules[3130]: failure 1
Dec 11 16:42:29 ubuntu augenrules[3130]: pid 3116
Dec 11 16:42:29 ubuntu augenrules[3130]: rate_limit 0
Dec 11 16:42:29 ubuntu augenrules[3130]: backlog_limit 8192
Dec 11 16:42:29 ubuntu augenrules[3130]: lost 0
Dec 11 16:42:29 ubuntu augenrules[3130]: backlog 0
Dec 11 16:42:29 ubuntu augenrules[3130]: backlog_wait_time 60000
Dec 11 16:42:29 ubuntu augenrules[3130]: backlog_wait_time_actual 0
Dec 11 16:42:29 ubuntu systemd[1]: Started Security Auditing Service.
auditdバージョン1:3.0.7-1build1でUbuntu 22.04を実行するアイデアがありますか?ありがとうございます!
答え1
役立つ場合は、すべてのaugenrules --load
ルールを 。/etc/audit/rules.d/*.rules
/etc/audit/audit.rules