Perguntas sobre 'auditd'

Tags
1
resposta

Enviando registros auditd para meu plug-in audispd

Depois de definir as regras de auditctl , desejo enviar esses registros correspondentes ao meu script Python para análise posterior. Estes são os arquivos envolvidos: auditd registros: type=PATH msg=audit(1451011319.268:533): ......
26.12.2015 / 15:35
1
resposta

Por que o audispd está descartando eventos? O que está na fila?

Meu audispd continua registrando vários erros de fila cheia. Jun 9 08:46:29 web audispd: queue is full - dropping event Eu gostaria de entender melhor por que a fila está sendo preenchida e se existe uma maneira melhor de resolver o pro...
09.06.2015 / 11:53
1
resposta

log bash server centralizado ou qualquer auditoria saas [duplicado]

Estou procurando uma maneira de rastrear nosso trabalho sysmin nos servidores. Digamos que o sysmin 1 e o sysmin 2 tenham acesso a qualquer servidor, mas precisamos ter certeza e rastrear qualquer coisa que eles façam no nosso servidor. Alg...
19.11.2013 / 21:20
2
respostas

Como descobrir quais processos estão excluindo arquivos de um diretório específico?

Estou tentando descobrir quais processos estão excluindo arquivos de um diretório específico, portanto, quero configurar e executar auditd no meu sistema. Eu configurei a seguinte regra em audit.rules : -w S unlink -S truncate -S ftr...
28.09.2012 / 18:05
1
resposta

diferença entre o sucesso e o evento com falha em auditd / aureport

O comando aureport tem duas opções que limitam a lista de eventos exibidos àqueles que foram bem-sucedidos e aqueles que falharam. Por página man: --failed Only select failed events for processing in the reports. The default i...
25.09.2012 / 23:22
2
respostas

Como determinar o processo que faz a solicitação de DNS? [duplicado]

Eu tenho um servidor na AWS, o GuardDuty começou a me enviar notificações: *** "type":"Backdoor:EC2/C&CActivity.B!DNS", *** {"domain":"libcurl.so","protocol":"UDP","blocked":false} *** is querying a domain name associated with a known C...
12.10.2018 / 15:13
1
resposta

Os logs auditd podem ser modificados? (Segurança, monitoramento de shell)

Recentemente, configurei o log audd e ativado do TTY para poder dar acesso a shell não-raiz de alguém e monitorar o que ele está fazendo. (Por que vale a pena eu dei a eles acesso ao jailshell, um recurso do cPanel que restringe seu acesso apena...
10.05.2018 / 07:07
1
resposta

Como procurar corretamente uma informação sobre o facto de o auditd ter sido desligado do init?

Eu tenho um mistério em minhas mãos. Um dia, /etc/rc5.d/S11auditd tornou-se /etc/rc5.d/K88auditd e ninguém se responsabiliza por isso. Parece que aconteceu por si só, o que é dificilmente plausível e requer uma pequena investigação. Ass...
09.12.2013 / 09:42
2
respostas

problema de configuração de regras de auditoria: nome do Syscall desconhecido: stime

Estou definindo regras de auditoria em /etc/audit/audit.rules. Como o requisito: O sistema de auditoria deve ser configurado para auditar todas as ações administrativas, privilegiadas e de segurança. Por isso, adiciono uma linha ao /etc/au...
10.09.2010 / 07:09
1
resposta

Modificações de arquivos de auditoria sobre o ssh no linux

Eu queria monitorar todas as modificações feitas em um arquivo em um servidor Linux (Redhat). Fiz algumas pesquisas e encontrei esta ferramenta de auditoria que já instalei e configurei usando os seguintes comandos: yum install audit # instal...
22.10.2018 / 19:15