Perguntas sobre 'linux-audit'

Tags
0
respostas

Como posso obter uma auditoria para relatar APENAS as regras que especifico com auditctl? (Linux)

Reiniciou o sistema, limpou a lista de regras com auditctl , mas o auditd ainda relata as coisas. Por quê? Como adiciono regras para relatar somente o que eu quero? Quando adiciono uma regra, outras coisas são informadas também. Nota: não quer...
04.03.2017 / 14:59
0
respostas

Por que o processo “errado” é morto?

Estou usando o auditd para monitorar meu sistema em busca de mortes. Normalmente vejo o seguinte par de linhas. Como um exemplo de um shell bash eu executei um kill -9 em um comando sleep com pid 16207. Pelo que entendi, a0 = 3f4f no SYSCALL é a...
19.01.2017 / 15:27
0
respostas

regras de auditoria do Linux excluindo com base no tipo msg exe, para o comando su

Eu tenho os eventos abaixo que ocorrem repetidamente em meu audit.log. Alguém pode fornecer a sintaxe válida da regra para o arquivo audit.rules, que impediria essas 6 entradas específicas? Idealmente, quero que o filtro seja aplicado a type...
02.12.2016 / 22:05
0
respostas

A auditoria não está assistindo / mnt / foo no RHEL4

====== Novas informações ===== No meu sistema RHEL4, o auditctl está falhando em assistir somente quando algo é montado por meio do comando mount . O mesmo diretório funciona bem quando é desmontado. A versão da auditoria é 1.0.16. Seja mon...
10.10.2016 / 10:40
0
respostas

Comandos de gravação executados por um usuário no RHEL5

Estou tentando usar o pam_tty_audit para gravar todos os comandos executados por um usuário. I SSH no host RHEL5 e execute sudo -i e, em seguida, anexado session required pam_tty_audit.so disable=* enable=root para o início...
01.09.2016 / 02:48
0
respostas

SELinux log no Debian Wheezy

Atualmente estou brincando com o SELinux em uma VM Wheezy do Debian. Eu vi um vídeo de um funcionário da RedHat falando sobre como o SELinux é fácil de usar e que tudo será registrado no /var/log/messages em um formato legível e legível. N...
12.03.2015 / 21:53
0
respostas

Como faço para impedir que mensagens de erro recorrentes apareçam em mensagens e auditd.log?

Na minha máquina linux do CentOS, no meu arquivo auditd.conf, eu configurei meu max_log_file_action = keep_logs. No entanto, em minhas / var / log / messages e /var/log/auditd.log, a seguinte mensagem aparece várias vezes por segundo, que pre...
06.02.2015 / 20:08
0
respostas

controla as alterações de permissão do diretório

A permissão de um determinado diretório chamado 11203 foi alterado duas vezes porque o aplicativo hospedado encontrou alguns problemas. Quando usei o comando: ausearch -i |grep chmod |grep 11203 Eu tenho o resultado abaixo type=USER...
17.12.2014 / 22:15
1
resposta

Como posso encaminhar apenas erros do log de auditoria para o servidor rsyslog?

A documentação do rsyslog é muito pouco clara. Desejo encaminhar apenas erros do log de auditoria para o servidor rsyslog remoto. Os exemplos mostram: # auditd audit.log $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log:...
27.08.2015 / 18:00
1
resposta

Configuração de auditoria

Estou tentando configurar a auditoria de sistemas de arquivos usando auditd no Ubuntu 12.04.5. Eu tenho um sistema de arquivos sendo exportado, chame de /exports/data , que preciso de auditoria. Eu tenho a seguinte regra: LIST_RULES: exi...
28.08.2015 / 14:18