主页 / server / 问题

问题[audit](server)

Martin Hope
Tito
Asked: 2022-01-01 05:39:19 +0800 CST
  • 2

在其中一台运行 Centos 的机器上,即

cat /etc/redhat-release 
CentOS Linux release 7.9.2009 (Core)

我通过命令 aureport -x --summary 发现了一些奇怪的东西

 aureport -x --summary

Executable Summary Report
=================================
total  file
=================================
19328  /usr/bin/rpm
11802  /usr/sbin/crond
7713  /usr/sbin/sshd
4201  /usr/bin/grep
1564  /usr/libexec/postfix/pickup
1031  /usr/sbin/libvirtd
891  /usr/sbin/logrotate
866  /usr/sbin/unix_chkpwd
785  /usr/lib/systemd/systemd-logind
704  /usr/bin/ps
541  /usr/bin/su
302  /usr/bin/bash
295  /usr/sbin/xtables-multi
294  /usr/lib/systemd/systemd
222  /usr/bin/sudo
171  /usr/bin/id
135  /usr/bin/systemd-tmpfiles
66  /usr/bin/python2.7
48  /usr/bin/date
46  /usr/sbin/brctl
41  /usr/bin/ls
32  /usr/bin/ssh
31  /usr/bin/diff
30  /usr/sbin/sendmail.postfix
29  /usr/sbin/anacron
27  /usr/lib/polkit-1/polkitd
27  /usr/bin/pkla-check-authorization
24  /usr/libexec/postfix/cleanup
24  /usr/libexec/postfix/trivial-rewrite
24  /usr/libexec/postfix/local
20  /usr/sbin/virtlogd
18  /usr/sbin/postdrop
15  /usr/sbin/ebtables-restore
10  /usr/bin/kmod
6  /usr/bin/vim
6  /usr/libexec/postfix/master
5  /usr/sbin/sshd;61b30d72 (deleted)
4  /usr/bin/ssh-keygen
3  /usr/sbin/postfix
3  /usr/sbin/postlog
3  /usr/lib/systemd/systemd-update-utmp
3  /usr/sbin/autrace
2  /usr/bin/cpio
1  /usr/bin/getent
1  /usr/bin/chown
1  /usr/sbin/ip

“61b30d72(已删除)”是什么意思

rkhunter 没有显示任何警告或可疑文件!IE

rkhunter --update --propupd
[ Rootkit Hunter version 1.4.6 ]

接着

rkhunter -c -sk

!!!全绿!!!

61b30d72 是什么意思?

linux centos audit
Martin Hope
Shawn Northrop
Asked: 2021-11-11 09:48:44 +0800 CST
  • 1

我们的基础架构托管在 Google Cloud 上,并通过 Cloud SQL 使用 postgresql 实例

我需要为 HIPAA 合规性配置日志记录。我已阅读 Google 文档中的 2 篇文章:

https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview

第一个讨论从 IAM 中启用审计日志,这里我可以选择 Cloud SQL 并为数据和管理员启用 r+w 日志

第二个谈论 PgAudit 并设置以下标志pgaudit.log=all

我有一些问题:

  1. IAM 日志和 PgAudit 有何不同,我应该同时启用两者还是这样做有冗余?
  2. 对于使用 PgAudit 的 HIPAA 合规性,我应该记录all还是有其他有意义的值
google-cloud-platform postgresql audit google-cloud-sql hipaa
Martin Hope
Vexer
Asked: 2020-11-09 15:14:04 +0800 CST
  • 2

type=TTY msg=audit(08/12/2020 02:33:30.163:107) : tty pid=2709 uid=e4ws5 auid=root ses=1 major=4 minor=1 comm=sh data="/bin/bash -i",<nl>

谁能告诉我在此 audit.log 中如何有一个名为 data= 的字段名称,其中包含正在执行的命令,这是日志文件中的自定义配置还是默认配置。

linux log-files audit
Martin Hope
PartyParrot
Asked: 2020-05-10 23:52:13 +0800 CST
  • 0

我已经在网上搜索了这个问题的答案。在auditd 配置文件auditd.conf 中有一个参数priority_boost。RedHat联机帮助页说:

priority_boost
This is a non-negative number that tells the audit daemon how much of a priority boost it should take. The default is 4. No change is 0.

我很难理解这个值有什么影响。有人可以解释一下吗?

linux audit
Martin Hope
Woodstock
Asked: 2020-04-07 02:06:52 +0800 CST
  • 0

我希望得到一些可以使用的方法的帮助......

我正在构建一个将使用 SSH-CA 的解决方案(即,通过证书完成身份验证的 SSH)。

流程很简单:

1) 用户生成密钥对

2) 使用 HSM 进行身份验证并获得公钥签名

3) SSH 服务器验证签名和证书并允许访问

(有额外的位,但基本上就是这样)。

这是我的问题,我可以监控证书请求和 SSH 交互,但是如何监控用户的操作?

由于这是针对 devOps 人员的,他们需要 root,所以大多数人都将以 root 身份登录到 SSH 会话。

我仍然需要将发布的命令与实际的员工姓名或 ID 联系起来。

有什么聪明的主意吗?

我想过使用:

  • 利用LD_PRELOAD提供一个基本的面包屑路径。

  • 使用多个证书颁发机构,每个用户一个。

  • UNIX 组的使用,采用组的组。

但它们都是棘手的解决方案。

logging ssh root audit
Martin Hope
user3271408
Asked: 2020-03-31 05:26:48 +0800 CST
  • 1

我正在尝试自动检查 GPO 上的审核设置。在 GUI 中,要检查一个 GPO,我将打开组策略管理控制台,展开域、域名、组策略对象,选择我要检查的 GPO,转到委派选项卡,选择高级,再次高级打开的设置窗口,最后选择 Auditing 选项卡。我想在此处将非默认设置添加到我们所有的 GPO,并定期检查这些设置是否已被删除。我可以使用“get-gpo”命令查询 GPO,但这并没有给我想要的信息。任何想法如何获得审计信息?我很感激任何帮助。

powershell active-directory audit
Martin Hope
KlausB
Asked: 2019-03-23 02:42:26 +0800 CST
  • 0

我将我的 auditd 配置为使用以下规则记录所有 execve 系统调用:

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

虽然这完美地捕获了系统上任何用户的所有活动,但显然也有很多噪音。我添加了一些例外,例如:

-a exit,never -F arch=b32 -S execve -F exe=/bin/date
-a exit,never -F arch=b64 -S execve -F exe=/bin/date

现在剩下的唯一噪音,我仍然想排除的是通过/bin/sh 执行一些脚本。这些的auserach输出如下所示:

type=PROCTITLE msg=audit(03/21/19 13:35:01.579:7561) : proctitle=/bin/sh /usr/lib/sysstat/debian-sa1 1 1 
type=PATH msg=audit(03/21/19 13:35:01.579:7561) : item=2 name=/lib64/ld-linux-x86-64.so.2 inode=2228626 dev=fc:01 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 
type=PATH msg=audit(03/21/19 13:35:01.579:7561) : item=1 name=/bin/sh inode=1572884 dev=fc:01 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 
type=PATH msg=audit(03/21/19 13:35:01.579:7561) : item=0 name=/usr/lib/sysstat/debian-sa1 inode=1968913 dev=fc:01 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 
type=EXECVE msg=audit(03/21/19 13:35:01.579:7561) : argc=4 a0=/bin/sh a1=/usr/lib/sysstat/debian-sa1 a2=1 a3=1 
type=SYSCALL msg=audit(03/21/19 13:35:01.579:7561) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x561ccb6c2510 a1=0x561ccb6c24b0 a2=0x561ccb6c24d0 a3=0x7fc8166fd810 items=3 ppid=16157 pid=16158 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=52 comm=debian-sa1 exe=/bin/dash key=exec

因此/usr/lib/sysstat/debian-sa1使用/bin/sh(在本例中是指向 的链接/bin/dash)执行。在这里,我显然不想排除/bin/shor的所有执行/bin/dash,而只排除我允许的少数脚本的执行。

有没有办法指定这样的例外?我试过这样的事情:

-a exit,never -F arch=b32 -S execve -F exe=/bin/dash -F path=/usr/lib/sysstat/debian-sa1
-a exit,never -F arch=b64 -S execve -F exe=/bin/dash -F path=/usr/lib/sysstat/debian-sa1
-a exit,never -F arch=b32 -S execve -F exe=/usr/lib/sysstat/debian-sa1
-a exit,never -F arch=b64 -S execve -F exe=/usr/lib/sysstat/debian-sa1

但这没有用。

根据man auditctl(8)它也无法检查a0,a1,...字符串,因为在那里使用了指针。我在这里遗漏了什么,或者这根本不可能?

audit
Martin Hope
Breedly
Asked: 2018-02-06 07:31:37 +0800 CST
  • 1

auditctl每当我这样做时,我都会尝试使用 列出规则文件中的规则auditctl -R audit.rules -l:我收到错误Error - nested rule files not supported。我已经清空了我试图加载的规则文件,但我仍然得到这个!它是从其他地方加载的吗?

当我这样做时,auditctl -l我得到:No rules, just right

audit