当在/etc/audit/auditd.conf中使用电子邮件地址时,有一个选项verify_email定义为,
该选项确定是否检查action_mail_acct中给出的电子邮件地址以查看域名是否可以解析。该选项必须在action_mail_acct之前给出,否则将使用默认值yes。
实际检查何时进行?例如,服务何时启动?审核事件何时发生?
CentOS 在启动过程中打印以下内容
[ *** ] A stop job is running for Security Auditing Service (9s / 1min 30s)
然后切换到单用户模式。
每当有人在 Debian Linux 上读取我的私钥内容时,我希望立即收到警报。我怎样才能做到这一点?
我在服务器磁盘的以下位置存储了一个 RSA 私钥:
/etc/ssl/private/super-secret.key
它只能由 root 读取,但我仍然希望记录每次有人或进程读取此密钥时的日志,并存储该读取事件的上下文以用于警报和审计目的
当从磁盘读取非常敏感的文件时,如何设置立即警报?
我正在尝试在 /etc/audit/audit.rules 中设置以下规则
-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete
这没有用,所以我尝试直接从命令行执行它:
auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete
但我收到以下错误: -F 缺少 auid 操作
有人可以指导我如何解决这个问题吗?
系统是Centos8
touch我需要在不更改内容的情况下确定文件的进程。我已经尝试过auditctl,但它似乎没有可以跟踪这些属性的文件系统手表。
sudo auditctl -w /boot/grub2/grubenv -p a -k GRUBENV
但这不会捕获时间戳更改。
有没有办法记录对文件修改/更改时间戳的更改,而不会改变文件的任何其他内容?
auditd 可以使用日期而不是整数来命名其轮换的审计日志吗?现在我有
audit.log
audit.log.1
audit.log.2
...
当audit.log填满时,所有文件都会旋转一个数字。我有一个备份审计日志的脚本,tar当它看到所有文件都在它下面移动时会感到困惑。我想按日期命名文件,这样它们在audit.log填满时就不会全部移动。
信息
在 Centos 7 上运行 auditd 版本 2.6.5。
我的规则文件包含:
-a exit,always -F arch=b64 -F auid=0 -S execve -k root_action
-a exit,always -F arch=b32 -F auid=0 -S execve -k root_action
当我跑步时which echo,我得到了/usr/bin/echo。
问题
当我运行时echo "asd",什么都没有登录/var/log/audit/audit.log。但是,当我运行时,/usr/bin/echo "asd"我看到一个事件被记录下来。为什么不使用绝对路径就不行?
我正在尝试使用 auditd 记录对文件系统的更改,但我还看到许多其他内容被记录,例如所有失败的 SSH 记录尝试(USER_AUTH 和 USER_LOGIN 事件)。如何防止它们被记录?当我这样做时,auditctl -l我只看到路径观察规则而没有其他规则。
试图通过 syslog 仅转发我的审核事件,但我不知道要使用哪个工具。我不想将所有内容都发送到我的系统日志服务器,因为它会在日志记录中产生冗余。我已将 audispd syslog 插件设置为活动状态,据我所知,这应该使 auditd 使用 syslog 来记录事件。现在我所要做的就是为auditd 的事件设置正确的工具以转发到我的日志服务器。
如果我对应该如何做有误,请告诉我。*我在 CentOS 7 上尝试这个
我今晚安装了 auditd,希望用它来报告在我的服务器上的目录树中写入或附加到的文件。我已经使用 auditctl 成功配置了规则,但是我找不到任何方法来获取 ausearch 或 aureport 命令来为我提供所触及文件的文件名 - 我所看到的只是 ausearch 输出中的 inode。
是否有任何命令行选项可以让他们输出更多有用的信息,或者可能是其他一些实用程序来更好地理解审计日志?