Perguntas sobre 'linux-audit'

0
respostas

Como configurar uma auditoria para uma pasta no Debian?

Estou interessado na segurança do sistema operacional que instalei e gostaria que você recomendasse comandos usados para a auditoria e, se possível, explicasse como você pode configurar a auditoria para uma determinada pasta . Isto é, caso a qua...
09.11.2018 / 16:40
0
respostas

regra de auditoria que corresponde apenas a arquivos ou diretórios recém-criados

Eu quero que auditd registre apenas os arquivos ou diretórios recém-criados. A auditoria tem as informações necessárias no campo nametype=CREATE , mas como posso filtrar esse campo? Eu sei que é possível pós-processar os arquivos de log,...
27.10.2018 / 15:15
1
resposta

Existe uma alternativa para a auditoria que permite diferentes arquivos de log por filtros?

Auditd não permite registrar diferentes filtros em arquivos diferentes (cf páginas man ). Existe alguma alternativa que permita, em particular, separar as atividades das contas?     
24.09.2018 / 20:34
1
resposta

aureport -l não mostra a contagem de sucesso do usuário que usou o comando “su”

porque o comando aureport -l --success --summary -i mostra a contagem de login bem-sucedida do usuário que usou o comando su . A saída do comando acima mencionado calcula apenas sshd , gdm sessions, mas não su . O que devo fazer s...
06.05.2018 / 11:36
0
respostas

Auditd não está funcionando corretamente para registrar o acesso do usuário

Nosso objetivo é registrar o acesso não autorizado a arquivos protegidos. O que esperamos , ou seja, : digamos que temos uma pasta ' / tmp / dir ', que contém subdiretórios e arquivos Qualquer usuário que não seja o usuário que criou...
06.04.2018 / 20:06
1
resposta

auditctl -l mostra apenas algumas regras

estou usando /etc/audit/rules.d/*.rules arquivos para gerar o /etc/audit/audit.rules que tem 120 linhas. Mas se eu correr auditctl -l eu obtenho apenas 14 linhas como resultado. Por que isso está acontecendo?     
20.09.2017 / 11:18
0
respostas

como analisar o audit_cmd em logs auditd

Eu tenho algumas linhas de log de auditoria que contém a chave audit_cmd seguido por uma longa seqüência de hex. Como posso analisá-lo? Nota: Eu posso não estar sempre na máquina que originalmente gerou os logs (em alguns casos eu vejo os...
06.09.2017 / 13:22
1
resposta

Como faço para diferenciar entre, xterm e firefox, se ambos chamam syscall = socketcall (recvmsg)

---- type = PROCTITLE msg = auditoria (domingo 03 Setembro de 2017 ^ E.370: 2020074): proctitle = / usr / bin / xterm -fg branco -bg black type = SOCKETCALL msg = audit (domingo, 03 de setembro de 2017 ^ E.370: 2020074) : nargs = 3 a0 = 0x3 a1 =...
03.09.2017 / 11:08
1
resposta

cronjob não redireciona a saída do comando quando usado com a opção

Não consigo redirecionar a saída do comando para um arquivo quando ele é executado com o cronjob [root@mail /]# crontab -l */1 * * * * /sbin/ausearch -i > /rummy [root@mail /]# cat /rummy É estranho que, quando eu não...
04.06.2017 / 07:33
1
resposta

script auditd através crontab - data ruim

Eu criei um servidor central auditd onde estou enviando todos os logs de auditoria de servidores locais. Gostaria de acessar relatórios de um nó específico. Então eu criei um relatório simples sript onde uma linha é algo como:  ausearch -n...
27.02.2017 / 09:30