Como habilitar o log de auditoria adicional?

Navegue suas respostas
2

Usamos o Auditd para monitorar alterações específicas em sistemas Linux. A maioria das nossas regras vem das diretrizes do CIS Benchmark e poucas são adicionadas especificamente para monitorar certas execuções de comandos.

Até agora, só vimos os tipos de registro a seguir: 

PATH, SYSCALL, CWD, AVC, EXECVE, USER_CMD, USER_LOGIN, USER_AUTH

De acordo com o este link, Existem vários tipos interessantes que seriam cruciais para monitorar. Poucos que parecem importantes em nosso ambiente são 

KERNEL, ADD_USER, ADD_GROUP, MAC_STATUS, NETFILTER_CFG.

Com base nas regras mencionadas abaixo, alguém pode ajudar a descobrir se esses eventos estão sendo monitorados e ainda não foram acionados ou se o conjunto de regras atual está incompleto? 

-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time-change    
-a always,exit -F arch=b64 -S clock_settime -k time-change  
-w /etc/localtime -p wa -k time-change  
-w /etc/group -p wa -k identity  
-w /etc/passwd -p wa -k identity  
-w /etc/gshadow -p wa -k identity  
-w /etc/shadow -p wa -k identity  
-w /etc/security/opasswd -p wa -k identity  
-a always,exit -F arch=b64 -S sethostname -S setdomainname -k system-locale
-w /etc/issue -p wa -k system-locale  
-w /etc/issue.net -p wa -k system-locale  
-w /etc/hosts -p wa -k system-locale  
-w /etc/sysconfig/network -p wa -k system-locale  
-w /etc/selinux/ -p wa -k MAC-policy  
-w /var/log/faillog -p wa -k logins  
-w /var/log/lastlog -p wa -k logins  
-w /var/log/tallylog -p wa -k logins  
-w /var/log/btmp -p wa -k session  
-w /var/run/utmp -p wa -k session  
-w /var/log/wtmp -p wa -k session  
-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod  
-a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -F auid>=500 -F auid!=4294967295 -k perm_mod  
-a always,exit -F arch=b64 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=500 -F auid!=4294967295 -k perm_mod  
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid>=500 -F auid!=4294967295 -k access  
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid>=500 -F auid!=4294967295 -k access  
-a always,exit -F arch=b64 -S mount -F auid>=500 -F auid!=4294967295 -k mounts  
-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete  
-w /etc/sudoers -p wa -k scope  
-w /var/log/sudo.log -p wa -k actions  
-w /sbin/insmod -p x -k modules  
-w /sbin/rmmod -p x -k modules  
-w /sbin/modprobe -p x -k modules  
-a always,exit -F arch=b64 -S init_module -S delete_module -k modules  
-a always,exit -F path=/bin/su -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged  
-a always,exit -F path=/bin/ping6 -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged  
-a always,exit -F path=/sbin/unix_chkpwd -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged  
-a always,exit -F path=/sbin/pam_timestamp_check -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged  
-a always,exit -F path=/sbin/mount.nfs -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged

Poucas regras específicas de comando: 

-a exit,always -F arch=b64 -S execve -F path=/bin/rm  
-a exit,always -F arch=b64 -S execve -F path=/bin/chmod  
-a exit,always -F arch=b64 -S execve -F path=/bin/chgrp  
-a exit,always -F arch=b64 -S execve -F path=/bin/chown

Os dados que estamos obtendo das regras acima são extremamente úteis e valiosos. Qualquer sugestão ou dicas sobre como levar o log de auditoria mais adiante seria apreciado.

    
por Abhi 09.06.2016 / 00:10

0 respostas

Tags

arquivo de backup localmente no shell script Por que o Kali Linux é tão difícil de configurar? Por que as pessoas não me ajudam?