从磁盘读取私钥时的电子邮件警报（蜜罐，auditd）

这可以使用以下两个工具来实现：

1. auditd监控文件（更确切地说，告诉内核监控文件的 inode）并将所有读取事件记录到/var/log/audit/audit.log
2. wazuh（或 ossec）监控audit.log文件并在适当时发送电子邮件警报

先决条件

首先，安装auditd。

sudo apt-get install auditd

接下来，安装 wazuh。如果您以前从未这样做过并且它只有一台服务器，那么您可能想要“一体式”安装。

sudo apt-get install wazuh-manager

审核配置

要监视该文件/etc/ssl/private/super-secret.key，请添加一条 auditd 规则来监视 ( -w) 文件以进行读取访问 ( -p r) - 并为该规则指定一个任意“键”名称 ( -k audit-wazuh-private-key-r)，以便我们以后可以匹配它。

cat > /etc/audit/rules.d/watch_private_keys.rules <<'EOF'
# monitor reads of our private keys for wazuh
-w /etc/ssl/private/super-secret.key -p r -k audit-wazuh-private-key-r
EOF

重新启动 auditd 以应用规则

systemctl restart auditd
auditctl -l

wazuh 配置

将以下行添加到您的 wazuh 主配置文件 ( /var/ossec/etc/ossec.conf) 以启用对 auditd 日志文件的监控

  <localfile>
    <location>/var/log/audit/audit.log</location>
    <log_format>audit</log_format>
  </localfile>

将上述规则的“key”名称添加到 wazuh 监控的 auditd 密钥列表中

grep 'audit-wazuh-private-key-r:read' /var/ossec/etc/lists/audit-keys || echo 'audit-wazuh-private-key-r:read' >> /var/ossec/etc/lists/audit-keys

/var/ossec/etc/rules/local_rules.xml将以下行添加到您的wazuh 本地规则文件（

        <rule id="100002" level="12">
                <if_sid>80700</if_sid>
                <match>audit-wazuh-private-key-r</match>
                <options>alert_by_email</options>
                <description>Audit: Watch - Private Key Read</description>
        </rule>

重启wazuh

systemctl restart wazuh

现在，任何读取文件内容的尝试/etc/ssl/private/super-secret.key都会向您发送电子邮件警报。

也可以看看

1. https://wazuh.com/blog/monitoring-root-actions-on-linux-using-auditd-and-wazuh/
2. https://documentation.wazuh.com/4.0/user-manual/capabilities/system-calls-monitoring/audit-configuration.html