Вопросы по аудиту
Самый простой способ получить IP-адрес через SSH:
Command: ifconfig
Пример:
stalinrajindian@ubuntuserver:~$ ifconfig
enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.30.3.27 netmask 255.255.255.0 broadcast 172.30.3.255
inet6 fe80::a00:27ff:fe8b:9986 prefixlen 64 scopeid 0x20<link>
ether 08:00:27:8b:99:86 txqueuelen 1000 (Ethernet)
RX packets 4876 bytes 1951791 (1.9 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 775 bytes 73783 (73.7 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 78 bytes 5618 (5.6 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 78 bytes 5618 (5.6 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
0
zebrakky
25.02.2020, 14:36
Ссылка
2 ответа
Помните о пробелах
auditctl -a always,exit -F path=/usr/bin/chcon -F perm=x -F auid>=1000 -F auid!=unset -k privileged-priv_change
0
Paulo Tomé
28.04.2021, 23:22
Ссылка
Выполнение упомянутой строки cmd приводит к тому, что знак «больше» >интерпретируется вашей оболочкой как оператор перенаправления, что предположительно bash. По этой причине операция для auidотсутствует, поскольку все после >не является частью команды. Вероятно, вы видите файл с именем =1000в вашем текущем каталоге.
Для правильного выполнения вам нужно экранировать >например вот так:
auditctl -a always, exit -F path=/usr/bin/chcon -F perm=x -F auid\>=1000 -F auid!=unset -F key=privileged-priv_change
или вот так:
auditctl -a always, exit -F path=/usr/bin/chcon -F perm=x -F "auid>=1000" -F auid!=unset -F key=privileged-priv_change
1
Marcel Kunze
28.04.2021, 23:22
Ссылка