Мне было интересно, как регистрировать изменения флага в файле, например. chattr +a somefile. Я понял, что временные метки, показанные stat somefile, бесполезны для аудита изменений флага: когда файл добавляется, он переопределяет время последнего изменения флага.....
unix 2 Сен 2021 в 16:46
Это вопрос, который я обдумывал в течение долгого времени и думал, что это невозможно. Можно ли запретить администраторам машины обходить возможности аудита sudo или doas? Например, запустить sudo su - и иметь корневую оболочку? Я полагаю, что реальный вопрос в том, есть ли способ проверить активно....
unix 9 Авг 2021 в 18:59
У меня есть журналы audit, которые выглядят следующим образом: type=CWD msg=audit(1613110144.560:260397): cwd="/" type=PATH msg=audit(1613110144.560:260397): item=0 name="/usr/bin/sed" inode=393388 dev=fe:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000....
unix 7 Апр 2021 в 22:33
под RHEL 7.8 drwxr-xr-x. 20 root root 4096 May 1 11:13 var drwxr-xr-x. 24 root root 4096 Sep 27 03:22 log drwx------. 2 root root 4096 Sep 2 03:34 audit -rw-------. 1 root root 80765572 Sep 30 17:40 audit.log Основываясь на правах доступа к файлу /var/log/....
unix 1 Окт 2020 в 00:54
Я добавил следующие строки в файл /etc/audit/audit.rules и перезапустил машину: -w /etc/group -p wa -k identity -w /etc/passwd -p wa -k identity -w /etc/gshadow -p wa -k identity -w /etc/shadow -p wa -k identity -w /etc/security/opasswd -p wa -k identity Создание пользователя из CLI с помощью коман....
unix 29 Сен 2020 в 14:47
Я провел некоторое исследование, и похоже, что то, как Linux хранит историю, связано не столько с безопасностью и аудитом, сколько с помощью пользователя. Даже после внесения изменений для мгновенной регистрации команд и пробелов команда все равно не будет записываться до завершения. Есть ли способ ....
unix 15 Сен 2020 в 14:51
Аудит не сжимает журналы. Возможно, это проблема конфигурации. Не могли бы вы сказать мне, что вызывает это в приведенной ниже конфигурации? local_events = yes write_logs = yes log_file = /var/log/audit/audit.log log_group = root log_format = RAW flush = INCREMENTAL_ASYNC freq = 50 max_log_file = ....
unix 6 Июл 2020 в 12:59
Я пытаюсь создать правило auditctl для следующей ситуации: есть файл, созданный пользователем root, владельцем которого является root, и с chmod 700. Таким образом, ни один другой пользователь, кроме root, не может читать или писать в него. Когда я затем пытаюсь что-то сделать, используя другого пол....
unix 30 Июн 2020 в 15:01
Согласно полевому словарю< /a>[1< /a>] есть поля, имена которых определяются следующим регулярным выражением: a[[:digit:]+]\[.*\] Мне удалось найти примеры таких полей, как a4 и a5 (см. 2), но не соответствует регулярному выражению, которое требует пары квадратных скобок (так что a4 должно быть a....
unix 11 Июн 2020 в 17:16
Краткая версия: Как отключить контрольные сообщения (dmesg) в системе Fedora? Система Fedora продолжает регистрировать сообщения «аудит: успех» в dmesg — настолько экстремально, что dmesg стал непригодным для использования, потому что он заполнен этими сообщениями (dmesg | grep -v audit пуст). Эти....
unix 11 Июн 2020 в 15:04
У меня есть специальное приложение для мониторинга, которое я развертываю в кластере Linux и хочу защитить его. Я бы хотел, чтобы процесс не был возможен для kill. Тем не менее, старшие пользователи нуждаются в root. Я читал, что для этого можно использовать потоки ядра. Я бы буквально предпочел сл....
unix 8 Апр 2020 в 15:26
Я ищу журнал подключений/отключений от исходящих сеансов ssh. Это что-то, что аудит может сделать? Я могу получать журналы исходящих подключений через аудитбит, но сложная часть отслеживает, когда сеанс отключен. Я даже пытался использовать ss и анализировать это каждую секунду через filebeat, пос....
unix 5 Мар 2020 в 08:29
После выполнения следующей инструкции auditctl -a always, exit -F path=/usr/bin/chcon -F perm=x -F auid>=1000 -F auid!=unset -F key=privileged-priv_change Он вернул следующую ошибку -F missing operation for auid Как справиться с этим? Моя ОС Red Hat 7.....
unix 25 Фев 2020 в 15:36
Это гипотетический вопрос, а не проблема, с которой я сейчас сталкиваюсь. Как определить, какой процесс использовал файл сейчас или в прошлом? Чтобы узнать, какой процесс обращается к filename прямо сейчас, lsof filename или fuser filename сделают всю работу. Но что, если нужно узнать, какие процес....
unix 6 Дек 2019 в 18:59
Я наткнулся на Lynis — инструмент аудита безопасности для Linux — и запустил его на своем Raspberry Pi, чтобы посмотреть, смогу ли я еще больше его укрепить. Я получил одно предупреждение в группе Аутентификация, которое меня смущает. - sudoers file [ ....
unix 5 Дек 2019 в 20:21
Предположим, сотрудник пришел в офис на целый день в выходные дни и вскоре после этого подал уведомление. Есть ли способ в Linux (в нашем случае Centos 7) исключить возможность кражи данных? Интересным видом деятельности будет заархивирование довольно больших папок (более 1 ТБ), содержащих много фа....
unix 12 Ноя 2019 в 12:38
Изучая журналы сетевой активности от audit, я хочу исключить несколько известных мне программ, например. firefox. ausearch -x firefox -i Выводит все соединения, связанные с firefox. Но обычные НЕ-операторы, похоже, терпят неудачу: ausearch -x=!fire ausearch -x \!fire ausearch -x ^[fire] Как НЕ с....
unix 28 Окт 2019 в 23:14
Этот вопрос касается только bash, а не ssh или любого другого инструмента. Я хотел бы обнаружить тайм-аут bash, и только тайм-аут: меня НЕ интересуют какие-либо другие условия выхода (exit, EOF, ^D или завершение любым сигналом) Если вы установите переменную тайм-аута: $ TMOUT=10 При превышении вре....
unix 22 Окт 2019 в 17:48
Вы можете отключить сообщения журнала, связанные с sudo, добавив что-то вроде Defaults:juser !syslog В файл sudoers. Это отключит ведение журнала в системный журнал. Но, например, В CentOS/Fedora по умолчанию включен auditd, который продолжает (подробно) регистрировать успешное выполнение sudo че....
unix 7 Июн 2019 в 06:57
Я пытаюсь увидеть, будет ли id -r распечатывать UID или имя пользователя, который вошел в систему, несмотря на любые su или sudo. Я заинтересован в том, чтобы сделать это, чтобы я мог держать людей немного более подотчетными и соответствующим образом адаптировать работу сценария (т. Е. Они запускаю....
unix 29 Ноя 2018 в 03:56
Я пытаюсь запустить эту команду в CentOS. logger -t AUDIT_LOG -f <MY_AUDIT_LOG_FILE> & Он работает правильно в течение 10/20 секунд. Открыв /var/log/messages в хвосте, я некоторое время правильно вижу сообщения, напечатанные в файле syslog tail -50f /var/log/messages После команды tail проверка с....
unix 8 Сен 2018 в 02:25
Я проверяю файлы в общем ресурсе nfs. Когда я просматриваю журналы аудита с помощью команды ausearch -f /var/nfs/general, я получаю несколько журналов, которые выглядят следующим образом: time->Tue Jun 12 16:23:34 2018 type=PROCTITLE msg=audit(1528800814.660:2782): proctitle=636174002F7661722F6E667....
unix 21 Авг 2018 в 05:40
В Windows есть EventID 1102 "Журнал аудита очищен". Что такое эквивалентное событие аудита в Unix/Linux? Если у кого-то есть пример события и он знает, какую политику аудита необходимо настроить для получения этого события, опубликуйте его тоже.....
unix 25 Июл 2018 в 08:24
В последнее время я изучал инструмент aureport, но я заметил следующее в его выводах и поведении. Например, выполнив следующую команду: # aureport --failed Отображает следующий фрагмент: Failed Summary Report ====================== Number of failed logins: 11783 Number of failed authentications: 41....
unix 20 Май 2018 в 17:35
Почему команда aureport -l --success --summary -i действительно показывает количество успешных входов в систему пользователя, который использовал команду su. Вывод вышеуказанной команды вычисляет только сеансы sshd, gdm, но не su. Что мне делать, если я хочу узнать точное количество успешных входов....
unix 6 Май 2018 в 16:38