FreeBSD: Как вы используете auditd для регистрации открытия, чтения, перемещения, удаления или изменения файлов и папок?

Инструкции в 16.3. Конфигурация аудита на самом деле очень ясна и по существу. Вы задаете вопрос, даже не объясняя, что вы пробовали и чему научились при этом. Но давайте попробуем провести вас по шагам. В общих чертах вам просто нужно запустить службу (, как и любую другую ). Изучите вывод. Затем внесите соответствующие изменения.

Начните с инструкций, описанных в разделе о том, как запустить подсистему аудита:

sysrc auditd_enable=YES

И запустить службу:

service auditd start

Вот так просто! Теперь в вашей системе запущен аудит. Теперь давайте посмотрим на 16.3.2.1. Аудит _контрольный файл:

dir:/var/audit
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

Обратите внимание на dirи flags. Сначала посмотрите на каталог /var/audit, указанный в dir. Вы заметите 2 новых файла после запуска auditd. Активный файл журнала с именем по дате и .not_terminatedи ссылкой с именем current. Именно здесь хранятся ваши журналы. Если вы просмотрите файлы, вы заметите, что они в двоичном формате.Затем обманываем и смотрим следующую главу:16.4. Работа с контрольными журналами . Это показывает, что мы используем prauditдля получения открытого текста. Войдите в систему еще раз и обратите внимание, как это регистрируется с помощью:

praudit /var/audit/current

Это будет выглядеть примерно так:

header,56,11,audit startup,0,Thu May 23 16:18:46 2019, + 609 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,97,11,OpenSSH login,0,Thu May 23 16:21:03 2019, + 443 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,successful login clan
return,success,0
trailer,97
header,92,11,logout - local,0,Thu May 23 16:21:15 2019, + 90 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,sshd logout clan
return,success,0
trailer,92

Сначала мы видим запуск auditd. Затем вы видите, как я вхожу в систему. А затем выхожу из системы.

Теперь мы подтвердили, что можем начать использовать систему аудита. Затем мы можем продолжить и рассмотреть ваши конкретные требования. Вы просите:

opened, read, moved, deleted or modified

Затем мы смотрим на таблицу в 16.3.1. Выражения выбора события и найдите наиболее релевантное:

fr  file read   Audit events in which data is read or files are opened for reading.
fw  file write  Audit events in which data is written or files are written or modified.
cl  file close  Audit calls to the close system call.

И, возможно, вас заинтересует:

fa  file attribute access   Audit the access of object attributes such as stat(1) and pathconf(2).
fc  file create Audit events where a file is created as a result.
fd  file delete Audit events where file deletion occurs.

Зная это, мы теперь можем установить flagsв/etc/security/audit_control:

flags:fr,fw,cl,fa,fc,fd

Или, если вы хотите сохранить значения по умолчанию:

flags:lo,aa,fr,fw,cl,fa,fc,fd

И если вы не чувствуете, что получаете все, что хотите -, используйте all, чтобы проверить, какие классы событий вам нужны:

flags:all

Перезапустите auditd, чтобы изменения вступили в силу:

service auditd restart

До сих пор это было общесистемным. Если вы хотите ограничить аудит только определенными пользователями, вы можете перейти к/etc/security/audit_user:

sambauser:fr,fw,cl,fa,fc,fd:no

Вы даже можете дополнительно настроить это и указать, нужны ли вам только успешные или неудачные события.

Помни человека

Помните, что FreeBSD обычно достаточно хорошо -документирована. Помимо Руководства по FreeBSD (, на которое вы уже ссылаетесь ), у вас есть фантастический инструмент вman:

man auditd
man audit_config
man praudit

Справочные страницы обновлены с -по -и содержат много ценной и доступной информации о системе. Если вы предпочитаете, вы можете просмотреть онлайн