Perguntas sobre 'linux-audit'

0
respostas

Qual é a maneira moderna de desenvolver um módulo de kernel de auditoria do Linux?

Sou novo no desenvolvimento do Kernel do Linux, e agora estou designado para desenvolver um módulo do kernel do Linux, que pode monitorar a rede, sistema de arquivos, portas USB e portas seriais. Estou ciente das coisas como netfilter / iptab...
25.12.2017 / 12:48
1
resposta

Qual é a melhor maneira de criar uma lista branca de seccomp para o LXC?

Eu tento configurar uma lista de desbloqueio muito restritiva para um contêiner LXC baseado em busybox. Comecei com o arquivo /usr/share/doc/lxc/examples/seccomp-v1.conf do Ubuntu. Parece conter syscalls mais úteis, mas não parece ser mais do...
08.10.2015 / 14:07
2
respostas

Como registrar todas as chamadas do sistema feitas por um programa, digamos, chrome, usando a auditoria do Linux?

autrace pode registrar as chamadas do sistema feitas por um programa, executando-o. Eu quero registrar as chamadas do sistema de programas já em execução. Isso pode ser feito encontrando o id do processo, mas existe alguma outra maneira elegan...
30.09.2014 / 02:20
2
respostas

Como faço para dissecar uma mensagem do SELinux SYSCALL?

Então, eu tenho esse trio de entradas de log de auditoria type=AVC msg=audit(1488396169.095:2624951): avc: denied { setrlimit } for pid=16804 comm="bash" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=pr...
01.03.2017 / 20:50
0
respostas

Por que o daemon de auditoria do Linux reinicia periodicamente com o seguinte log?

Log de amostra: type=SERVICE_START msg=audit(1497515461.023:2020433): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="systemd-tmpfiles-clean" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success' type=SERVICE_ST...
16.06.2017 / 06:39
1
resposta

Posso ter certeza de que o nome do campo de um registro de auditoria do Linux é único?

Estou criando um analisador / conversor a partir do formato de auditoria do Linux. Enquanto estudava o formato, olhando exemplos e lendo a documentação, deparei com um problema. Posso ter certeza de que os nomes de campo em um único registro...
04.07.2016 / 16:06
0
respostas

auditing symlink / symlinkat syscalls não funciona aqui

Estou tentando monitorar o syscalls de symlink / symlinkat de arquivos em um diretório específico, então adicionei duas regras: auditctl -a exit,always -F arch=b64 -S symlinkat -F success=1 -F dir=/XX auditctl -a exit,always -F arch=b64 -S sy...
26.12.2013 / 08:48
1
resposta

Auditoria de alterações na configuração do iptables em execução

Estou ciente de como auditar alterações no arquivo /etc/sysconfig/iptables no CentOS / RHEL 6 e versões anteriores, mas como faço auditoria para alterações feitas apenas na configuração em execução?     
01.06.2015 / 21:54
1
resposta

Utilizando o auditd para capturar avisos de “permissão negada”

Estou tentando descobrir como registrar / rastrear quando um usuário recebe Permission denied notice após tentar acessar um arquivo. Eu li que adicionar uma regra ao /etc/audit/audit.rules pode fazer isso. A única sugestão que vi menci...
05.08.2015 / 07:37
1
resposta

Monitorar contagem de acesso ao arquivo pelo usuário

Eu escrevi um script que é implantado apenas colocando-o em um local acessível globalmente para todos os usuários. Eu quero registrar o uso deste script. Existe uma maneira no Linux para descobrir quantas vezes um arquivo foi lido / acessado?...
24.01.2014 / 09:31