私は非常に一般的な監査ルールセットを使用してDebian 11サーバーでauditdを実行しています。監査ログには以下の項目が記入されます。それが何なのかよく分からない。誰もが識別するのに役立ちますか? ouidとogitの両方がゼロであるため、ルートが何かをすることに関連しているとします。これは正しいですか? type=Path msg=audit(1712839234.13338212): item=2 name="/lib/ld-linux-x86-64.so.2" inode=1573503 dev=fe:05 mode=0100755 ouid=0...
tcsh環境では、コマンドハッシュがデフォルトで無効になっているように見え、全体的に有効にすることはできません。代わりに、すべてのwhileループを含む個々のスクリプトでコマンドハッシュを有効にして、最初の反復で$ PATHで定義されたすべてのパスを繰り返すことができ、その後の反復で内部スクリプトの正確なパスに到達できるようにします。ハッシュテーブル。目的は、監査サービスによってキャプチャされた失敗したexecve呼び出しの数を減らすことです。 最初の質問は、内部ハッシュテーブルを出力するためにtcshに "hash"に似たコマンドがありますか? Hashs...
Shebang行に "-f"フラグが渡されるかどうかにかかわらず、tcshは$ PATHを繰り返し、コマンドが見つかるまでそのパスでコマンドを実行しようとしました。一方、bashは最初にその場所にコマンドがあることを確認します。 この tcsh 動作により、監査ログに失敗したエントリが多数発生します。これは、監査がexecveシステムコールをキャプチャするように構成されているためです。たとえば、tcshスクリプトでスリープを呼び出すときに失敗した監査エントリの1つは、絶対パス「/usr/local/bin/sleep」を使用してスリープを実行しようとしている...
auditdSELinuxは(名前付き)プロセスの起動を許可しません。私が見つけた拒否への唯一の言及は次のとおりmyplaginです。しかし、ポリシーに追加する必要がある新しいルールが何であるかを確認するには、audit.logスタイルの拒否()を見たいと思います。 。/var/log/audit/audit.log/var/log/messagesCentos8 auditd[3119]: Unable to stat /home/cust/myplagin (Permission denied)type=AVC msg=audit(1705309402....
オペレーティングシステムはDebianです。システムの再起動が何であるかを確認するために auditd を設定しました。 次の規則があります。 -a exit,always -F arch=b64 -S execve -F path=/bin/systemctl -k debug_test createルールは/usr/sbin/rebootSymlinkなので機能しませんが、/bin/systemctlこのルールはうまく機能し、再起動コマンドが実行されるたびにキャプチャします。その後、次のコマンドを使用してこれらの再起動を検索できますausearch -...
特定のイベントを記録するように構成された監査規則を持つRHELサーバーがあります。このログをリモートsyslogサーバーに渡したいと思います。これらの特定のログを転送する方法が見つからず、リモートsyslogサーバーの/var/logがいっぱいになることが多いため、すべての監査ログをリモートサーバーに転送するように構成しました。この問題を解決するには2つの方法がありますが、どちらも技術的な解決策を見つけることができません。 その特定のルールのイベントを別々のログファイルに記録するか、可能であればリモートsyslogサーバーに直接書き込みます。 特定のルール...
私はipv4転送を有効にする/proc/sys/net/ipv4/ip_forwardファイルに何があるかを確認しようとしました。 (それはdockerであることがわかりましたが、まだ私のauditdの問題を理解したかったのです。)ので、監査ルールを作成することにしました。 : -w /proc/sys/net/ipv4/ip_forward -p wa -k ip4forward 問題は、ルールを手動で発行した場合にのみルールがロードされることです。 augenrules --load 簡単なアクションでsystemctl restart auditd...
システムを再起動した後、ルールをロードするだけでLASでauditdシステムを設定できますか? 現在の状況では、サービスを再起動する必要がある状況ですがsystemctl restart auditd、次の再起動まで無効にする方法があるかどうか疑問に思います。 Webを見回したが、現在の構成ファイルにはそのようなオプションがないようです。どんなアイデアがありますか? ...
RHEL 8.8を新しくインストールしてauditd特定の/etc/audit/rules.d/audit.rulesファイルを実行すると、/var/log/audit/audit.logファイルが4 GBを超えるような状況が発生しました。これは、システムに唯一のユーザーアカウントがあり、ログインしている唯一の人であり、cp -rp /data/* /backup/FWIWを/data実行したときにcp -rpフォルダ/dataに50TBを超えるデータが含まれているためです。 /backup のファイルシステムは、RHEL 7.9 から始まる XFS_4....
私はCentOS 8システムユーザーの綴りが間違っているユーザー名を持っていて修正したと思いましたが、監査ログにユーザー名が正しく表示されていないことがわかりました。 正しいユーザー名は次のとおりです。 例。ユーザー 無効なユーザー名は次のとおりです。 例。ユーザー 私のAUID値に無効なユーザー名が表示されます。この問題を解決する方法についてアドバイスをいただきありがとうございます。 乾杯 ...
事前に構築されたサーバーで計測、分析、読み取ったすべてのファイルのリストを取得できるようにしたいです。 また、プログラムを実行したり、ライブラリをロードしたり、アプリケーションから読み取るためにカーネルがどのファイルを読み取っているかを確認したいと思います。 簡単だと思いました。 SELinuxはデフォルトで拒否し、許可モードではすべてを記録します。したがって、ルールなしでインストールして許可モードで実行すると、すべてが記録されます。 この質問は以下に関連しています。Security SEについてです。なぜなら私もそのポスターと似たようなことを経験しているか...
ファイルを読んだか、いつ読んだのかを確認できるツールやコマンドはありますか?最後に修正されたものだけ探してみましょう。 ...
Debian 12およびrsyslog 8.2302(TLSリモートsyslog用)をインストールした後、衣類ログ(またはすべての監査ログ)がリモートで送信されないことを確認しました。 ローカルシステムを確認した後、Journaldにはすべての監査と衣類のログが含まれていますが、rsyslogはそれらのどれも選択しません。他のすべての一般ログはrsyslogで見ることができます。 ForwardToSyslog=yesコメントを削除しても/etc/systemd/journald.conf違いはないようです。 /etc/rsyslog.conf # /etc...
私はこのような状況に直面したことがないので、どこから始めるべきかわかりません。システムにログパーサーをインストールしようとしていますが、何らかの理由ですべての監査ログのフィールド名が大文字で表示されています。したがって、syscall=0 auid=0 ではなく SYSCALL=0 AUID=0 です。 これは、ログ定義が大文字と小文字を区別して作成されるため、深刻な問題を引き起こします。フィールド名にエイリアスを付けることはできますが、他のすべてのシステムは小文字を使用しますが、このシステムではこれらのフィールドを大文字で報告します。理由はありますか? ...