Início / unix / Perguntas / 778124
Accepted
ibse
Asked: 2024-06-11 16:53:05 +0800 CST

O serviço de auditoria não audita comandos

  • 772

OS sles 15, serviço de auditoria ativado

Quando emito qualquer comando (por exemplo, date ou ls), espero que ele seja registrado em audit.log, algo assim:

tipo=SYSCALL msg=auditoria...

type=EXECVE msg=auditoria(1718094805.867:24632): argc=1 a0="data"

...

mas essas entradas não estão em audit.log

Existem outras entradas, por exemplo, sobre o início/término de sessões, mas não há comandos chamados.

linux-audit

1 respostas

  1. Best Answer

    https://lowendbox.com/blog/how-to-audit-every-command-run-on-your-linux-system/

    basicamente faça isso para colocar esta regra no seu /etc/audit/rules.d/audit.rulesarquivo

    auditctl -a exit,always -F arch=b32 -S execve -k allcmds
auditctl -a exit,always -F arch=b64 -S execve -k allcmds

    esteja ciente de que o /var/log/audit/audit.logarquivo pode crescer para gigabytes em alguns minutos e simplesmente preencher qualquer partição do disco em que essa pasta esteja.

    E acredito que isso capturará todos os comandos em um sistema em execução, incluindo todas as coisas ocultas. Se você quiser que cada comando seja executado por um usuário específico, seria uma questão de adaptar a regra para filtrar um usuário específico, uid=como

    auditctl -a exit,always -F arch=b32 -F uid=1234 -S execve -k allcmds

    ou

    auditctl -a exit,always -F arch=b32 -F uid >=1000 -S execve -k allcmds
    • 2

relate perguntas