Os logs auditd podem ser modificados? (Segurança, monitoramento de shell)

1

Recentemente, configurei o log audd e ativado do TTY para poder dar acesso a shell não-raiz de alguém e monitorar o que ele está fazendo. (Por que vale a pena eu dei a eles acesso ao jailshell, um recurso do cPanel que restringe seu acesso apenas ao diretório de usuários.)

Eu o configurei corretamente e, para testá-lo, estava executando aureport --tty -i para ver toda a atividade do usuário e ausearch -ul _username_ | aureport --tty -i para filtrar a atividade da nova conta (chamado _username_ , um pseudônimo). Na conta _username_ , acabei de executar alguns comandos simples, como cd e ls . Eu também comparei isso com cat /home/_username_/.bash_history . Eu estava fazendo o login todos os dias para verificar se há atualizações, e tenho certeza de que continuei vendo o mesmo registro de atividade de _username_ , os comandos básicos acima mencionados. Eu sei que vi esta atividade porque eu me lembro de estar confuso por não tê-la registrado em aureport até depois que eu fiz o logout. Eu tive que o Google para descobrir que esta era uma limitação do registro não-root TTY. Então foi definitivamente no aureport alguns dias atrás.

Hoje, eu verifiquei novamente e, desta vez, há uma nova atividade para _username_ . Alguns comandos aparentemente inócuos. Francamente, eu estava esperando que a pessoa com a conta tivesse mais atividade. O que é muito desconcertante para mim, no entanto, é que não há registro anterior de atividade de _username_ . Meus comandos de teste originais não estão mais sendo reportados por aureport .

É possível que eles não tenham se dado bem, de alguma forma tenham acesso root e apagado seu histórico de auditd , apagando acidentalmente a história dos meus comandos de teste no processo? Existem outras explicações?

    
por Dan 10.05.2018 / 07:07

1 resposta

3

Para expandir meu comentário anterior:

Em vez de abuso, espero que seus arquivos de log tenham atingido um tamanho máximo ou que os eventos tenham ocorrido há mais de X e que as entradas mais antigas tenham sido excluídas pelo sistema.

A maioria dos sistemas é configurada com padrões que não mantêm os registros indefinidamente e os empacotadores normalmente incluem um script drop-in de rotação de log (em /etc/logrotate.d ) ou se o serviço suporta tal coisa, limites de idade e / ou tamanho registra no próprio daemon.

O auditd é da segunda variedade.

Verifique seu auditd.conf para suas configurações atuais e man 5 auditd.conf para todas as opções e padrões suportados; como as configurações de max_log_file e num_logs que você encontrou.

Para responder ao título da sua pergunta:

Can auditd logs be modified?

Sim: se você conceder às pessoas acesso de nível de administrador, elas geralmente poderão modificar todo o seu sistema. É por isso que é uma prática recomendada duplicar eventos de log para um servidor de log remoto seguro.

    
por 10.05.2018 / 11:46