Perguntas sobre 'auditd'

Tags
0
respostas

Rastrear processos que se conectam através do tcp (em certas portas) usando o auditd (no GNU / Linux)

Gostaria de rastrear processos que tentam se conectar a uma determinada porta (no host remoto). Então, descobri que auditd é muito poderoso para esse tipo de tarefa. O seguinte comando instrui auditd para registrar cada syscall de conexão:...
02.12.2016 / 19:26
1
resposta

Como faço para impedir que mensagens de erro recorrentes apareçam em mensagens e auditd.log?

Na minha máquina linux do CentOS, no meu arquivo auditd.conf, eu configurei meu max_log_file_action = keep_logs. No entanto, em minhas / var / log / messages e /var/log/auditd.log, a seguinte mensagem aparece várias vezes por segundo, que pre...
06.02.2015 / 19:46
1
resposta

auditctl -l não mostrando regras

Eu tenho algumas regras no arquivo audit.conf. Quando o auditctl -l, eles não aparecem. Se eu reiniciar o serviço auditd e fizer o auditctl -l novamente, as regras serão exibidas. Alguma ideia do porquê disso? Onde posso verificar se há erros du...
24.09.2014 / 23:23
6
respostas

Arquivos desaparecendo no servidor linux

Eu tenho 4 arquivos específicos que parecem continuar desaparecendo do diretório pessoal de um usuário. Até onde sabemos, não há cronjobs ou outras tarefas automatizadas que as estejam removendo. Eu configurei a auditoria neles, mas os logs não...
23.08.2011 / 15:15
2
respostas

Existe uma maneira de saber por que um serviço é reiniciado e quem fez isso?

Ubuntu 14.04 clamav 0.98.7 O problema é que clamav-daemon é reiniciado quase diariamente: Sep 1 06:30:00 x-master clamd[6778]: Pid file removed. clamd[6778]: --- Stopped at Tue Sep 1 06:30:00 2015 clamd[5979]: clamd daemon 0.98.7 (...
01.09.2015 / 11:23
4
respostas

Auditoria de arquivo no Linux: como observar a árvore de diretórios para exclusões?

Eu tenho um script de fórum em execução no servidor e, de alguma forma, um pequeno número de anexos começa a se perder. Eu quero descobrir o que está excluindo e em que momento. Como posso configurar o Linux auditd (auditctl) para observar a árv...
24.05.2010 / 13:21
1
resposta

Sugestão para configuração de auditoria

Estou tentando aprender sobre como proteger uma caixa do Linux (estou usando o Ubuntu). O auditd é recomendado para atividades de monitoramento no nó. Eu consegui instalá-lo, mas não consigo encontrar muita informação sobre a configuração adequa...
05.03.2011 / 19:32
2
respostas

Obtendo auditd para gravar o usuário original

Esta questão está relacionada com a minha pergunta anterior: Logar tudo comandos executados por administradores em servidores de produção É política da empresa que os administradores façam login nos servidores por meio de um nome de usuário...
29.01.2013 / 20:15
3
respostas

O Centos 6.5 auditd falha ao iniciar com o serviço ou /etc/init.d/audit start

Falha: # service auditd start Starting auditd: [FAILED] Falha: # /etc/init.d/auditd start Starting auditd: [FAILED] E frustantemente - funciona:...
05.12.2014 / 12:58
1
resposta

pam_tty_audit e usuários não privilegiados

Estou trabalhando em uma caixa de 6,3 centavos e estou tentando registrar todos os comandos executados a partir de um shell bash e deparei com pam_tty_audit. Eu adicionei a linha apropriada ao meu /etc/pam.d/system-auth file : session r...
31.08.2012 / 22:13