Auditoria de alterações no log de auditoria

Navegue suas respostas
2

Configurei o auditd por motivos de conformidade com o PCI

O PCI indica que os logs existentes não podem ser alterados sem gerar um alerta

Este artigo link recomenda que você faça isso:

-w / var / log / -k Logs_Accessed -p rwxa

Este comando auditctl funcionará? Certamente você terminará em um círculo com um evento de auditoria escrevendo no log provocando outro evento de auditoria, etc.

    
por user185704 20.01.2012 / 14:43

2 respostas

2

Sua linha de comando de auditoria funcionará perfeitamente. No entanto, se você quiser algumas camadas extras de proteção:

  • use o chattr para alterar seus registros para serem anexados somente
  • tem um servidor de registro centralizado
  • use as regras do SElinux para configurar uma regra que aplica apenas o syslog e os daemons podem gravar em / var / log
  • use as permissões do Unix para garantir que / var / log esteja acessível a apenas algumas pessoas.
por 20.01.2012 / 15:35
1

A seção seguinte àquela nesse artigo declara que "These messages are processed by daemon syslog, not auditd."

Presumivelmente, isso significa que o daemon syslog está configurado para registrar essas mensagens em particular remotamente, em vez de localmente.

Isso é inteligente de uma perspectiva de segurança, porque se você registrar o fato de que alguém está alterando um arquivo no mesmo arquivo que está alterando, ele também poderá remover essa entrada. Se você registrá-los remotamente, o invasor terá mais dificuldade em modificá-los. O registro remoto dessas mensagens também resolve seu problema de loop de edição.

auditd pode ter uma exceção para si mesmo que resolve esse problema de loop, mas os autores podem ter esperado que você não criasse o loop em primeiro lugar.

    
por 20.01.2012 / 15:25

Tags

Virtual Box, máquina virtual Como obter nagios para retornar o espaço livre em disco