Auditd : 監査ルールを追加する2023/07/13 |
|
デフォルトで設定されているシステムへのログインやユーザーアカウント操作、Sudo
アクションなどの監査設定以外のアクション、例えば、ある特定のファイルへのアクセスを監査したい場合等は、個別にルールを追加する必要があります。
|
|
| [1] | 例として、[/etc/hosts] の書き込みアクセスと属性変更を記録する監査ルールを設定します。 |
|
# 現在のルールを表示 (デフォルトは以下のように個別ルールは未設定) root@dlp:~# auditctl -l No rules # -p [r|w|x|a] で監視対象アクションを指定 # r=読み取り, w=書き込み, x=実行, a=属性変更 # -k [任意の文字列] で検索用キーを設定 root@dlp:~# auditctl -w /etc/hosts -p wa -k hosts_change root@dlp:~# auditctl -l -w /etc/hosts -p wa -k hosts_change |
| [2] | 監査ルール設定後、監査対象のファイルに監査対象アクションを実行すると、以下のようなログが記録されます。 |
|
root@dlp:~# ausearch -k hosts_change | aureport -f -i =============================================== # date time file syscall success exe auid event =============================================== 1. 07/12/2023 21:18:16 /etc/hosts~ rename yes /usr/bin/vim.basic root 301 2. 07/12/2023 21:18:16 /etc/hosts openat yes /usr/bin/vim.basic root 302 3. 07/12/2023 21:18:16 (null) fchmod yes /usr/bin/vim.basic root 303 4. 07/12/2023 21:18:16 /etc/hosts setxattr yes /usr/bin/vim.basic root 304 5. 07/12/2023 21:18:27 /etc/hosts~ rename yes /usr/bin/vim.basic root 305 6. 07/12/2023 21:18:27 /etc/hosts openat yes /usr/bin/vim.basic root 306 7. 07/12/2023 21:18:27 (null) fchmod yes /usr/bin/vim.basic root 307 8. 07/12/2023 21:18:27 /etc/hosts setxattr yes /usr/bin/vim.basic root 308 9. 07/12/2023 21:19:19 /etc/hosts~ rename yes /usr/bin/vim.basic debian 339 10. 07/12/2023 21:19:19 /etc/hosts openat yes /usr/bin/vim.basic debian 340 11. 07/12/2023 21:19:19 (null) fchmod yes /usr/bin/vim.basic debian 341 12. 07/12/2023 21:19:19 /etc/hosts setxattr yes /usr/bin/vim.basic debian 342 |
| [3] | [auditctl] で設定した監査ルールはシステム再起動すると初期化されるため、永続化するには [/etc/audit/rules.d] 配下にルールを定義しておく必要があります。定義ファイルは、拡張子が [.rules] であればファイル名は任意の名称で OK です。 |
|
# 現在の設定を additional.rules に書き出す root@dlp:~# auditctl -l >> /etc/audit/rules.d/additional.rules |
| [4] | 監査対象にディレクトリを指定すると、対象ディレクトリ配下が再帰的に監査対象となります。 |
|
# [/home/testdir/] に読み取りアクセスの監査ルールを設定 root@dlp:~# auditctl -w /home/testdir/ -p r -k testdir_audit root@dlp:~# auditctl -l -w /etc/hosts -p wa -k hosts_change -w /home/testdir -p r -k testdir_audit # 対象ディレクトリへのアクセスが以下のように記録される root@dlp:~# ausearch -k testdir_audit | aureport -f -i File Report =============================================== # date time file syscall success exe auid event =============================================== 1. 07/12/2023 21:21:32 /home/testdir sendto yes /usr/sbin/auditctl root 52 2. 07/12/2023 21:22:40 /home/testdir/testfile.txt openat yes /usr/bin/vim.basic debian 83 3. 07/12/2023 21:22:40 /home/testdir/testfile.txt readlink no /usr/bin/vim.basic debian 84 4. 07/12/2023 21:22:40 /home/testdir/.testfile.txt.swp openat yes /usr/bin/vim.basic debian 85 5. 07/12/2023 21:22:40 /home/testdir/.testfile.txt.swx openat yes /usr/bin/vim.basic debian 86 6. 07/12/2023 21:22:40 /home/testdir/.testfile.txt.swp openat yes /usr/bin/vim.basic debian 87 7. 07/12/2023 21:22:40 /home/testdir/testfile.txt openat yes /usr/bin/vim.basic debian 88 8. 07/12/2023 21:22:44 /home/testdir/testfile.txt getxattr no /usr/bin/vim.basic debian 89 9. 07/12/2023 21:23:26 /home/testdir/test.txt openat yes /usr/bin/vim.basic bookworm 125 10. 07/12/2023 21:23:26 /home/testdir/test.txt openat yes /usr/bin/vim.basic bookworm 126 ..... ..... |
| [5] | 例として、UID が 1000 以上のログインユーザーが消去したファイルを監査する設定です。 |
|
root@dlp:~#
auditctl -a always,exit -F arch=b64 -S unlink,unlinkat -F 'auid>=1000' -F 'auid!=-1' -F key=delete_audit root@dlp:~# auditctl -l -w /etc/hosts -p wa -k hosts_change -w /home/testdir -p r -k testdir_audit -a always,exit -F arch=b64 -S unlink,unlinkat -F auid>=1000 -F auid!=-1 -F key=delete_audit # 以下のようなログが記録される root@dlp:~# ausearch -k delete_audit | aureport -f -i File Report =============================================== # date time file syscall success exe auid event =============================================== 1. 07/12/2023 21:26:39 /run/user/1000/systemd/ unlink no /usr/lib/systemd/systemd debian 210 2. 07/12/2023 21:26:39 /run/user/1000/systemd/ unlink no /usr/lib/systemd/systemd debian 211 3. 07/12/2023 21:26:52 /home/testdir/test.txt unlinkat no /usr/bin/rm debian 233 4. 07/12/2023 21:27:12 /home/testdir/test.txt unlinkat yes /usr/bin/rm debian 239 5. 07/12/2023 21:27:32 /run/user/1000/systemd/units/invocation:dbus.socket unlink yes /usr/lib/systemd/systemd debian 269 6. 07/12/2023 21:27:32 init.scope unlinkat no /usr/lib/systemd/systemd debian 270 |
| Sponsored Link |