Perguntas sobre 'linux-audit'

1
resposta

Como registrar todas as chamadas do sistema feitas por um processo e todos os seus descendentes com o auditd

Eu posso fazer auditctl -a always,exit -S all -F pid=1234 Para registrar todas as chamadas do sistema feitas pelo pid 1234 e: auditctl -a always,exit -S all -F ppid=1234 Para seus filhos, mas como faço para cobrir também os netos e...
30.10.2014 / 13:35
0
respostas

Como desabilitar o registro relacionado ao sudo para executar com sucesso o comando sob o CentOS / Fedora?

Você pode desativar as mensagens de log relacionadas ao sudo, adicionando algo como Defaults:juser !syslog para o nosso arquivo sudoers . Isso está desativando o registro no syslog. Mas sob, e. O CentOS / Fedora tem um auditd habi...
15.12.2014 / 01:01
2
respostas

Por que recebo erros de "Permissão negada" mesmo que eu tenha permissão de grupo?

Estou tentando rodar um jogo chamado "Dofus", no Manjaro Linux. Eu instalei com o packer, que colocou na pasta /opt/ankama . Esta propriedade de pasta (e para cada arquivo dentro dela) é usuário root e grupo de jogos. Conforme instruído pelo p...
30.08.2014 / 02:43
1
resposta

Alguém pode dar um exemplo do motivo pelo qual eu gostaria de induzir um kernel panic usando o auditd?

Recentemente, implementamos algumas regras de auditoria em resposta a uma auditoria de segurança externa. Meu colega ofereceu algumas informações sobre eles e sugeriu adicionar -f 2 a /etc/audit.rules . Não consigo pensar em uma instância e...
14.09.2015 / 23:22
1
resposta

Como enviar logs de auditoria com o audisp-remote e recebê-los com o netcat

Eu estou tentando configurar um CentOS 7 rodando no VirtualBox para enviar seus logs de auditoria para o host que é o FreeBSD 10.3. Idealmente, eu gostaria de receber os logs com o auditdistd (8) do FreeBSD, mas por enquanto eu gostaria apenas d...
18.08.2016 / 17:26
1
resposta

Como excluir mensagens auditd do dmesg e apenas registrá-las em /var/log/audit.log

Eu uso audit para registrar ações de usuários suspeitos em uma estação de trabalho em minha instituição. Descobri que, além de fazer login em /var/log/audit.log , auditd também grava em /var/log/messages . Conseqüentemente, usuários se...
18.01.2016 / 09:56
1
resposta

Identificando a origem das mensagens de auditoria no kern.log

Instalei recentemente o pacote auditd em minha máquina Debian. Fiz alguns testes com auditctl , criando uma única regra para assistir a um diretório, provei algo e, em seguida, removi e purgei auditd . Posteriormente, ainda estou vendo...
03.05.2016 / 15:54
1
resposta

eventos de auditoria do Linux não foram passados para ir à auditoria

Estamos tentando usar a ferramenta de auditoria go da slack para capturar / processar eventos de auditoria do Linux. Mais informações: link A questão é que a auditoria do Linux está pegando eventos corretamente, mas eles não estão sendo sel...
25.01.2017 / 16:34
1
resposta

Alterações feitas no chattr não são detectadas pelo auditd

Eu quero monitorar um diretório específico usando o auditd, para que qualquer alteração seja registrada. Eu criei uma regra usando: auditctl -w /etc/my_path_to_monitor -p wa -k my_rule Isso funciona muito bem para tudo que testei até agor...
13.01.2018 / 21:38
1
resposta

Formato não documentado dos registros de log de auditoria do Linux

Estou escrevendo um analisador para o Linux Audit e me deparei com alguns casos estranhos que não parecem estar de acordo com o padrão. A minha referência é a documentação da Red Hat . Um registro de auditoria adequado deve ser assim:...
05.07.2016 / 11:28