Perguntas sobre 'auditd'

Tags
2
respostas

auditd execve argumentos que se parecem com dados codificados

Estou registrando todos os execve's em uma espécie de pote de mel e, como tal, tento dar sentido aos comandos. Há muitos deles, todos com 'bash -c' e algum valor alfanumérico longo não entre aspas duplas. Como posso entender o que estou realment...
05.03.2015 / 16:04
6
respostas

Como descobrir o PID do processo enviando pacotes (gerando tráfego de rede)?

Há algumas semanas, tive um problema em que alterei endereços DNS em uma grande rede de cerca de 300 nós. Depois disso, alguns dos nós continuaram a perguntar a antigos servidores DNS, embora o resolv.conf estivesse ok e o host / nslookup estive...
10.02.2015 / 16:10
2
respostas

O que faz o log de auditoria por padrão (ou seja, quando nenhuma regra é definida?)

Instalei auditd e audispd-plugins na minha máquina Debian Jessie e não toquei em nenhuma configuração. Eu vejo eventos sendo gravados em /var/log/audit/audit.log , por exemplo: type=LOGIN msg=audit(1462384141.770:838): pid=3662 uid=0...
04.05.2016 / 19:55
1
resposta

Como descobrir o que está criando arquivos temporários

Eu noto muitos arquivos vazios em / tmp com nomes semelhantes a "/tmp/tmp.tMIHx17730". Eu executo a regra de auditoria e descobri que o mktemp está criando, o que não é muito útil. Como descubro qual script chama o mktemp para criar esses arq...
11.11.2015 / 17:23
1
resposta

Auditoria no linux

Estou tentando configurar um mecanismo de auditoria robusto nas caixas centos 6.x. Eu tentei e testei várias ferramentas de auditoria como auditd aide psacct Mas nenhum está completo preenchendo minha exigência. Minha exigência é bast...
20.06.2015 / 12:30
2
respostas

Como logar todos os comandos executados no Linux incluindo seus argumentos (parâmetros)? [duplicado]

Como posso registrar todos os comandos executados no Linux, incluindo seus argumentos de linha de comando (parâmetros)? Então, por exemplo, se alguém executar: rm -rf /tmp/foo Eu veria uma entrada de log semelhante a esta: 2016-01...
21.03.2016 / 20:47
1
resposta

Utilizando o auditd para assistir a um diretório não recursivamente?

Estou trabalhando em uma máquina Cpanel Cent 6, e algum script misterioso está mudando as permissões dos diretórios home (!) para o 777. Eu descartei todas as correções fáceis, então eu só preciso configurar um relógio no diretório e espere até...
02.03.2013 / 10:49
0
respostas

Por que o ausearch pula entradas?

Estou tentando usar a ferramenta ausearch search my logs de auditoria para entradas específicas. O problema é que a maioria das entradas em audit.log parece não ser pesquisável. A pesquisa com parâmetros correspondentes geralmente reto...
01.09.2015 / 08:03
1
resposta

Como ativar a auditoria syscall no CoreOs?

Desde o CoreOs 766, o subsistema de auditoria está parcialmente integrado: The audit subsystem has been enabled in the kernel and auditctl added to the image. Most audit events are ignored by default. The audit rules may be modified i...
07.04.2016 / 14:10
3
respostas

Auditoria de alteração de senha no solaris

É possível que o subsistema de auditoria do Solaris registre todas as redefinições de senha para contas locais do Solaris? Não consigo encontrar nada nos documentos da Oracle nem no googling geral, por isso estou curioso para saber se isso po...
07.09.2018 / 18:19