Alterações feitas no chattr não são detectadas pelo auditd

4

Eu quero monitorar um diretório específico usando o auditd, para que qualquer alteração seja registrada. Eu criei uma regra usando:

auditctl -w /etc/my_path_to_monitor -p wa -k my_rule

Isso funciona muito bem para tudo que testei até agora, exceto alterações feitas com chattr , como:

chattr +S /etc/my_path_to_monitor/a_file

O uso de chattr não está resultando em nenhuma mensagem de log de auditoria - como posso ter essas alterações auditadas com auditoria?

UPDATE: encontrei um thread antigo sobre o auditd não está registrando chattr syscalls. Ele faz o log auditd das chamadas, mas não as relaciona com os arquivos que elas afetam - então eu ainda estou presa.

    
por Cocowalla 13.01.2018 / 21:38

1 resposta

1

Eu li o manual, cheguei à mesma conclusão para a configuração e obtive o mesmo resultado para o registro. Experimentando, descobri que o objetivo pode ser alcançado com a seguinte configuração.

auditctl -w /etc/my_path_to_monitor -p warx -k my_rule

Para oferecer um recurso adicional para audit , caso você pretenda configurar ainda mais o audit , o Red Hat O Guia de Implementação Técnica de Segurança (STIG) produzido pela Agência de Sistemas de Informação de Defesa (DISA) tem uma excelente linha de base das regras audit . Eles ainda são aplicáveis principalmente a qualquer distribuição Linux que você esteja usando, talvez com um pouco de interpolação para corresponder ao sistema com o qual você está trabalhando.

    
por 22.02.2018 / 21:18