Alterações feitas no chattr não são detectadas pelo auditd

Question

Alterações feitas no chattr não são detectadas pelo auditd

#1 resposta do (1 votos)

4

Eu quero monitorar um diretório específico usando o auditd, para que qualquer alteração seja registrada. Eu criei uma regra usando:

auditctl -w /etc/my_path_to_monitor -p wa -k my_rule

Isso funciona muito bem para tudo que testei até agora, exceto alterações feitas com chattr , como:

chattr +S /etc/my_path_to_monitor/a_file

O uso de chattr não está resultando em nenhuma mensagem de log de auditoria - como posso ter essas alterações auditadas com auditoria?

UPDATE: encontrei um thread antigo sobre o auditd não está registrando chattr syscalls. Ele faz o log auditd das chamadas, mas não as relaciona com os arquivos que elas afetam - então eu ainda estou presa.

linux audit linux-audit

por Cocowalla 13.01.2018 / 21:38

1 resposta

Tags linux audit linux-audit

Como posso desativar a visualização de links no skypeforlinux? Plasma do KDE: salva as configurações de exibição / área de trabalho / barra de tarefas em um perfil?

score 1 · Answer 1

Eu li o manual, cheguei à mesma conclusão para a configuração e obtive o mesmo resultado para o registro. Experimentando, descobri que o objetivo pode ser alcançado com a seguinte configuração.

auditctl -w /etc/my_path_to_monitor -p warx -k my_rule

Para oferecer um recurso adicional para audit , caso você pretenda configurar ainda mais o audit , o Red Hat O Guia de Implementação Técnica de Segurança (STIG) produzido pela Agência de Sistemas de Informação de Defesa (DISA) tem uma excelente linha de base das regras audit . Eles ainda são aplicáveis principalmente a qualquer distribuição Linux que você esteja usando, talvez com um pouco de interpolação para corresponder ao sistema com o qual você está trabalhando.