Ubuntu 22.04
Sponsored Link

Auditd : ऑडिट नियम जोड़ें2023/09/20

 
निम्नलिखित की तरह अपने स्वयं के ऑडिट नियम जोड़ना संभव है।
[1] उदाहरण के लिए, कॉन्फिगर ऑडिट नियम जो [/etc/hosts] के लिए लेखन और विशेषताओं में बदलाव को रिकॉर्ड करता है।
# वर्तमान नियम प्रदर्शित करें (निम्नानुसार डिफ़ॉल्ट रूप से कोई नियम नहीं)

root@dlp:~#
auditctl -l

No rules
# -p [r|w|x|a] : लेखापरीक्षा के लिए लक्ष्य कार्रवाई निर्दिष्ट करें
# r=read, w=write, x=execute, a=attributes
# -k [words] : लॉग खोजने के लिए कुंजियाँ सेट करें

root@dlp:~#
auditctl -w /etc/hosts -p wa -k hosts_change

root@dlp:~#
auditctl -l

-w /etc/hosts -p wa -k hosts_change
[2] जब कुछ क्रियाएं निर्धारित की जाती हैं और नए ऑडिट नियमों द्वारा इसका पता लगाया जाता है, तो ऑडिट लॉग निम्नानुसार रिकॉर्ड किए जाते हैं।
root@dlp:~#
ausearch -k hosts_change | aureport -f -i


===============================================
# date time file syscall success exe auid event
===============================================
1. 12/20/2022 12:43:40 /etc/hosts~ rename yes /usr/bin/vim.basic ubuntu 296
2. 12/20/2022 12:43:40 /etc/hosts openat yes /usr/bin/vim.basic ubuntu 297
3. 12/20/2022 12:43:40 (null) fchown yes /usr/bin/vim.basic ubuntu 298
4. 12/20/2022 12:43:40 (null) fchown yes /usr/bin/vim.basic ubuntu 299
5. 12/20/2022 12:43:40 (null) fchmod yes /usr/bin/vim.basic ubuntu 300
6. 12/20/2022 12:43:40 /etc/hosts setxattr yes /usr/bin/vim.basic ubuntu 301
7. 12/20/2022 12:44:28 /etc/hosts~ rename yes /usr/bin/vim.basic root 327
8. 12/20/2022 12:44:28 /etc/hosts openat yes /usr/bin/vim.basic root 328
9. 12/20/2022 12:44:28 (null) fchown yes /usr/bin/vim.basic root 329
10. 12/20/2022 12:44:28 (null) fchown yes /usr/bin/vim.basic root 330
11. 12/20/2022 12:44:28 (null) fchmod yes /usr/bin/vim.basic root 331
12. 12/20/2022 12:44:28 /etc/hosts setxattr yes /usr/bin/vim.basic root 332
[3] [auditctl] कमांड द्वारा जोड़े गए नियम सिस्टम को पुनरारंभ करने के बाद नहीं रखे जाते हैं, इसलिए यदि आप इन्हें लगातार बनाए रखना चाहते हैं तो उन्हें [/etc/audit/rules.d] के अंतर्गत एक फ़ाइल में जोड़ना होगा। [/etc/audit/rules.d] के अंतर्गत अपनी पसंद के किसी भी फ़ाइल नाम में नियम जोड़ना ठीक है, लेकिन एक्सटेंशन [.rules] होना चाहिए।
# वर्तमान नियमों को [@additional.rules] पर आउटपुट करें

root@dlp:~#
auditctl -l >> /etc/audit/rules.d/additional.rules

[4] यदि आप ऑडिट लक्ष्य के लिए एक निर्देशिका निर्धारित करते हैं, तो सभी फ़ाइलें निर्देशिका के अंतर्गत पुनरावर्ती रूप से लक्षित होती हैं।
# ऑडिट नियम (रीडिंग) को [/home/testdir/] पर सेट करें

root@dlp:~#
auditctl -w /home/testdir/ -p r -k testdir_audit

root@dlp:~#
auditctl -l

-w /home/testdir -p r -k testdir_audit
# लॉग निम्नानुसार दर्ज किए जाते हैं

root@dlp:~#
ausearch -k testdir_audit | aureport -f -i


File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 12/20/2022 12:46:57 /home/testdir sendto yes /usr/sbin/auditctl root 83
2. 12/20/2022 12:47:50 /home/testdir/ lgetxattr no /usr/bin/ls root 84
3. 12/20/2022 12:47:50 /home/testdir/ getxattr no /usr/bin/ls root 85
4. 12/20/2022 12:47:50 /home/testdir/ getxattr no /usr/bin/ls root 86
5. 12/20/2022 12:47:50 /home/testdir/ openat yes /usr/bin/ls root 87
6. 12/20/2022 12:47:50 /home/testdir/. lgetxattr no /usr/bin/ls root 88
7. 12/20/2022 12:47:50 /home/testdir/. getxattr no /usr/bin/ls root 89
8. 12/20/2022 12:47:50 /home/testdir/. getxattr no /usr/bin/ls root 90
9. 12/20/2022 12:47:55 /home/testdir/.testfile.txt.swp openat yes /usr/bin/vim.basic root 91
10. 12/20/2022 12:47:55 /home/testdir/.testfile.txt.swx openat yes /usr/bin/vim.basic root 92
11. 12/20/2022 12:47:55 /home/testdir/.testfile.txt.swp openat yes /usr/bin/vim.basic root 93
12. 12/20/2022 12:48:21 /home/testdir/.test.txt.swp openat yes /usr/bin/vim.basic ubuntu 118
13. 12/20/2022 12:48:21 /home/testdir/.test.txt.swx openat yes /usr/bin/vim.basic ubuntu 119
14. 12/20/2022 12:48:21 /home/testdir/.test.txt.swp openat yes /usr/bin/vim.basic ubuntu 120
[5] उदाहरण के लिए, सेट ऑडिट नियम जो उन उपयोगकर्ताओं द्वारा हटाई गई फ़ाइलों की निगरानी करता है जिनके पास यूआईडी 1000 से अधिक है।
root@dlp:~#
auditctl -a always,exit -F arch=b64 -S unlink,unlinkat -F 'auid>=1000' -F 'auid!=-1' -F key=delete_audit

root@dlp:~#
auditctl -l

-w /home/testdir -p r -k testdir_audit
-a always,exit -F arch=b64 -S unlink,unlinkat -F auid>=1000 -F auid!=-1 -F key=delete_audit
# लॉग निम्नानुसार दर्ज किए जाते हैं

root@dlp:~#
ausearch -k delete_audit | aureport -f -i


File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 12/20/2022 12:50:23 /run/user/1000/systemd/ unlink no /usr/lib/systemd/systemd ubuntu 160
2. 12/20/2022 12:50:23 /run/user/1000/systemd/ unlink no /usr/lib/systemd/systemd ubuntu 161
3. 12/20/2022 12:50:42 /home/testdir/test.txt unlinkat yes /usr/bin/rm ubuntu 189
4. 12/20/2022 12:50:56 /home/testdir/testfile.txt unlinkat yes /usr/bin/rm ubuntu 202
मिलान सामग्री