【问题标题】:Auditd not capturing the directory deletion event审核未捕获目录删除事件
【发布时间】:2019-02-11 13:12:57
【问题描述】:

我在 auditd 配置中给出了以下规则。

  audit_rules: |
    -w /etc/group -p wa -k identity
    -w /etc/passwd -p wa -k identity
    -w /etc/gshadow -p wa -k identity
    -w /etc/shadow -p wa -k identity
    -w /etc/security/opasswd -p wa -k identity
    -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EACCES -k access
    -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -k access
    -a always,exit -F dir=/home -F uid=0 -F auid>=1000 -F auid!=4294967295 -C auid!=obj_uid -F key=power-abuse
    -a always,exit -F arch=b64 -S setuid -F a0=0 -F exe=/usr/bin/su -F key=elevated-privs
    -a always,exit -F arch=b32 -S setuid -F a0=0 -F exe=/usr/bin/su -F key=elevated-privs
    -a always,exit -F arch=b64 -S setresuid -F a0=0 -F exe=/usr/bin/sudo -F key=elevated-privs
    -a always,exit -F arch=b32 -S setresuid -F a0=0 -F exe=/usr/bin/sudo -F key=elevated-privs
    -a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=0 -F key=elevated-privs
    -a always,exit -F arch=b32 -S execve -C uid!=euid -F euid=0 -F key=elevated-privs

虽然这是成功捕获文件删除,但它不是捕获文件夹删除、重命名或修改。 为什么会这样?。我需要更改文件夹监控的规则吗?

【问题讨论】:

    标签: linux logging audit-trail


    【解决方案1】:

    从你的规则我可以​​看出你在看目录/home

    -a always,exit -F dir=/home -F uid=0 -F auid>=1000 -F auid!=4294967295 -C auid!=obj_uid -F key=power-abuse
    

    -F dir 字段设置监视目录中所有文件的规则。相反,您想使用 -F 路径字段。

    -a always,exit -F path=/home -F uid=0 -F auid>=1000 -F auid!=4294967295 -C auid!=obj_uid -F key=power-abuse
    

    path 字段只监视目录占用的 inode。

    根据http://man7.org/linux/man-pages/man7/audit.rules.7.html,它显示“使用系统调用规则,您可以在路径和目录之间进行选择,分别针对特定的 inode 或目录树。”

    【讨论】:

      猜你喜欢
      • 2016-03-08
      • 1970-01-01
      • 1970-01-01
      • 2018-05-11
      • 2011-06-06
      • 1970-01-01
      • 2021-12-12
      • 1970-01-01
      • 2018-11-23
      相关资源
      最近更新 更多