O que faz o log de auditoria por padrão (ou seja, quando nenhuma regra é definida?)

Navegue suas respostas
5

Instalei auditd e audispd-plugins na minha máquina Debian Jessie e não toquei em nenhuma configuração. Eu vejo eventos sendo gravados em /var/log/audit/audit.log , por exemplo: 

type=LOGIN msg=audit(1462384141.770:838): pid=3662 uid=0 old-auid=4294967295 auid=0 old-ses=4294967295 ses=21 res=1
type=USER_START msg=audit(1462384141.770:839): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1462384141.778:840): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1462384141.778:841): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_ACCT msg=audit(1462384201.780:842): pid=3761 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_ACQ msg=audit(1462384201.780:843): pid=3761 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=LOGIN msg=audit(1462384201.780:844): pid=3761 uid=0 old-auid=4294967295 auid=0 old-ses=4294967295 ses=22 res=1
type=USER_START msg=audit(1462384201.780:845): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1462384201.796:846): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1462384201.800:847): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'

Mas não sei por que estou vendo nada no log, porque não tenho regras definidas: 

$ auditctl -l
No rules

Não consigo encontrar nenhuma regra em /etc/audit/audit.rules ou /etc/audit/rules.d , exceto pelos padrões: 

-D
-b 320

Obviamente, estou perdendo alguma coisa. O que está sendo registrado por padrão?

    
por 2rs2ts 04.05.2016 / 19:55

2 respostas

3

Esses eventos são provenientes de outros recursos (pam, openssh, etc) que enviam eventos de auditoria para o serviço de auditoria. Se você não quiser nenhum evento, adicione audit = 0 aos argumentos da linha de comando do kernel.

Se você quiser saber qual recurso pode querer usar o serviço de auditoria, tente algo como 

[burn@fc24 ~]$ rpm -q --whatrequires audit-libs
libsemanage-2.5-2.fc24.x86_64
shadow-utils-4.2.1-8.fc24.x86_64
pam-1.2.1-5.fc24.x86_64
util-linux-2.28-3.fc24.x86_64
openssh-7.2p2-9.fc24.x86_64
passwd-0.79-8.fc24.x86_64
gdm-3.20.1-3.fc24.x86_64
pam-1.2.1-5.fc24.i686
[burn@fc24 ~]$
    
por 08.07.2016 / 04:59
1

Por padrão, o auditd registra comandos relacionados à segurança. Isso não é algo que pode ser visto nos arquivos de configuração, acontece por padrão quando o auditd está em execução. Você pode obter um resumo de quais comandos foram registrados em seu sistema recentemente usando: 

sudo aureport -x --summary

Não consegui encontrar uma lista de todos os comandos registrados por padrão. Meu sistema do CentOS 7 registra isso por padrão (não uma lista exaustiva, apenas o que é mostrado nos logs): 

/usr/sbin/crond
/usr/libexec/dovecot/auth
/usr/sbin/sshd
/usr/bin/sudo
/usr/sbin/xtables-multi
/usr/lib/systemd/systemd
/usr/bin/passwd

Ele também registra logins, logouts e mensagens relacionadas ao SELinux.

Dois artigos que foram usados para referência:

por 29.11.2016 / 02:17

Tags

ignora arquivos em uso (sendo gravado para) ao usar o rsync yum + lista todas as atualizações de segurança disponíveis sem instalá-las, no redhat 5?