Perguntas sobre 'auditd'

Tags
1
resposta

Histórico de acessos para o servidor NFS

Eu tenho um servidor (OS: Debian), no qual o nfs-kernel-server é instalado e executado. Quando um cliente NFS acessa ou lê, grava em um arquivo ou diretório no diretório de compartilhamento NFS, eu quero capturar e salvar todas as informações so...
03.03.2016 / 11:34
1
resposta

configuração do buffer auditctl - quão grande é isso?

Dentro do arquivo audit.rules padrão no CentOS 5, 6 e 7, o seguinte é definido: # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 320 No entanto, não há menção de qual unidade é o número fornecido....
24.06.2015 / 16:53
1
resposta

auditd rule para o número de logins

Estou usando Debian squeeze e instalei auditd nele. Quando executo aureport , ele sempre mostra Number of logins = 0 e Number of failed logins = 0. Qual regra deve ser adicionada nas regras de auditoria para registrar esses p...
09.03.2012 / 07:11
1
resposta

Permissão negada ao adicionar regra de auditoria no plug-in audisp

Estou tentando escrever um plug-in audisp em uma VM Linux CentOS 7. Em vez de definir estaticamente as regras de auditoria via /etc/audit/rules.d/, eu queria adicionar regras dinamicamente no plug-in usando interfaces de libaudit (com base em al...
12.11.2018 / 07:01
1
resposta

Ver logs auditd no journalctl

Estou usando o CentOS 7. tentando visualizar auditd logs em journalctl Quando tento journalctl -u auditd , vejo a seguinte saída: -- Logs begin at Wed 2018-09-05 08:59:19 EDT, end at Wed 2018-09-19 15:01:01 EDT. -- Sep 05 12:59:25...
19.09.2018 / 21:19
1
resposta

auditd não registra o chmod

Eu corro o seguinte, com a ideia de que eu quero registrar qualquer alteração nas permissões do diretório home / username: auditctl -w / home / username -p a Então eu corro o seguinte: tail -f /var/log/audit/audit.log e vejo as alter...
29.11.2016 / 21:59
1
resposta

Como as alterações de auditoria no dir via symlink?

O uso do sistema auditd para assistir a um diretório por meio de um symlink dificilmente aciona qualquer registro. Aqui está a situação: # pwd /home/root/serverfault # ls -l total 4 drwxr-xr-x 2 root root 4096 Sep 1 15:12 dir lrwxrwxrwx...
01.09.2015 / 17:52
2
respostas

auditd o processo para o log após execuções de script logrotate

Estou tentando usar o logrotate para manter logs de auditoria por um período de tempo definido, em vez de usar a rotação especial do auditd (de /etc/audit/auditd.conf ). Eu mudei o max_log_file_action para IGNORE nesse arquivo. A segu...
01.06.2015 / 07:08
1
resposta

Ignore tipos específicos com auditd

Recentemente, tenho andado com o auditd e tentando cortar parte do que está sendo registrado. Aqui está a minha entrada audit.rules para log execve # First rule - delete all -D -a always,exit -F arch=b64 -S execve -a always,exit -F arch=b64...
20.11.2013 / 23:43
1
resposta

pam_tty_audit aparentemente não está funcionando

Eu apenas compilei o módulo pam_tty_audit, porque minha distro do Linux não o inclui nos módulos usuais do PAM. Incluí para o /etc/common-session da linha de configuração, conforme sugerido em esta questão . No meu / var / log / messages...
30.05.2013 / 18:10