linux audit - exclui um processo que atualiza o horário

Navegue suas respostas
3

Eu configurei minhas regras auditd para registrar quando a hora do sistema é alterada

No entanto, nossos servidores são VMs e, portanto, têm problemas com o tempo decorrido. Precisamos resolver esse problema, por isso usamos uma ferramenta VMware para sincronizar regularmente a hora.

Meu problema agora é que meus registros de auditoria estão sobrecarregados com entradas de alteração de horário como esta: 

Jun  1 15:08:39 ***** audispd: node=****** type=SYSCALL
msg=audit(1338559719.053:344291):
arch=c000003e syscall=159 success=yes exit=5 a0=7ffff2084050 a1=0 a2=144b
a3=485449575f4c4c55 items=0 ppid=1 pid=1348 auid=4294967295 uid=0 gid=0 
euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 
comm="vmtoolsd" exe="/usr/lib/vmware-tools/bin64/appLoader" key="time_change"

Como posso excluir essa ferramenta vmware da auditoria, mas ainda capturar um usuário alterando a hora?

Estas são as minhas regras de auditoria atuais para capturar as alterações de horário: 

-a always,exit -F arch=b32 -S adjtimex -S settimeofday -k time_change
-a always,exit -F arch=b32 -S clock_settime -k time_change
    
por user185704 01.06.2012 / 16:47

1 resposta

1

Se eu entendi corretamente, você está monitorando os eventos de mudança de hora do kernel. Não vejo nenhum método direto para impedir que uma única ferramenta apareça nos logs, mas tenho duas soluções possíveis:

  1. Basta filtrar o log antes de revisar o log de auditoria. Perl ou awk são seus amigos ou
  2. Use um script personalizado (por exemplo, em /etc/cron.d/) que desative o tempo de auditoria, atualize a hora e, em seguida, ative novamente a auditoria de horário.

A menos que seus registros sejam grandes demais para o dispositivo de armazenamento que você está usando, prefiro a opção 1 porque isso mantém um registro de auditoria completo e você está simplesmente removendo as partes nas quais não está interessado. revendo o log de auditoria. Essas mudanças automáticas de horário fazem parte da realidade e podem ser necessárias para interpretar registros de data e hora no registro de auditoria em caso de desvio de tempo próximo a uma ocorrência de evento de auditoria interessante (esperamos que seu software de ajuste de tempo registre o tempo ajustado para que você possa mais tarde manualmente resync o tempo nos logs, se necessário).

    
por 25.06.2012 / 09:44

Tags

Por que o rinetd está funcionando localmente, mas não está funcionando remotamente? CCMSetup issue - agente por trás do firewall