4
ответа
Как интерпретировать “saddr” поле контрольного журнала?
Я пытаюсь зарегистрировать параметр подключения, таким образом, я добавил одно правило с auditctl. Теперь в audit.log я получаю строки как это: type=SOCKADDR msg=audit (1385638181.866:89758729): saddr=hex представляют в виде строки, Итак, как...
28.11.2013
4
ответа
Команды выполняются через SSH, очевидный для администратора удаленного хоста?
Администраторы могут знать то, что управляет, чтобы я выполнился нев интерактивном режиме через SSH? Например: эхо привет становится зарегистрированным где-нибудь в удаленном, если я выполняю это? $ ssh me@remote "эхо привет" Может удаленный...
03.07.2013
4
ответа
Нахождение времени выполнения команды задним числом
Я только что выполнил продолжительный процесс от подсказки удара. В ретроспективе, я желаю, чтобы я выполнил бы время на нем или записал время, в которое я сбросил его с ноги. Есть ли любой способ получить эту информацию...
16.09.2012
3
ответа
Как я знаю, работает ли acct? (Учет системных ресурсов Unix)
Я установил acct пакет, и он работает, потому что я вижу действие файла в файле журнала. Я знаю, что существует куртка команды на включить его, но как я решаю что его испытывание нехватку...
01.06.2015
3
ответа
Существует ли простой способ зарегистрировать все выполняемые команды, включая параметры командной строки?
Я пытаюсь найти, как зарегистрировать определенное инстанцирование rrdtool, чтобы видеть, является ли путь, который он получает, неправильным. Я знаю, что мог перенести исполняемый файл в сценарий оболочки, который зарегистрируется...
06.11.2014
3
ответа
Раскройте sudoer пользователя с полномочиями пользователя root, которые выполнили команду X?
Я - основной системный администратор системы. В системе существует 3 sudoers пользователя с полномочиями корня. Система запускает скрипт в фоне, которые проверяют хеш утилит системы для обнаружения возможный...
19.07.2013
2
ответа
Вопросы по аудиту
После выполнения следующей инструкции auditctl -a always, exit -F path=/usr/bin/chcon -F perm=x -F auid>=1000 -F auid!=unset -F key = привилегированный-priv_change он вернул следующую ошибку -F ...
25.02.2020
2
ответа
Общие сведения о журнале аудита - права доступа к файлам и их содержимое изменены
Мне нужно понять журнал ниже, мой index.php получил запутанный код, а права доступа к файлам изменены с 644 на 755 тоже. У меня что-то есть в моем аудите, но я не могу точно сказать, что и как это ...
01.04.2019
2
ответа
Получение ошибки при остановке Auditd
Я недавно внес изменения в мой файл audit.rules на 32-битной машине RHEL 6.9, и я знаю, что с конца файла есть - E 2 Чтобы сделать файл неизмеренным перезагрузкой необходим для новых правил к ...
08.11.2018
2
ответа
Понимание getlogin ()
Я думаю, что предыдущее повторение этого вопроса было немного похоже на ковровую бомбу вопросов, так, чтобы, возможно, выключил людей к нему (на грани того, чтобы почти быть отмеченным для удаления), таким образом, я буду...
13.04.2017
2
ответа
Отслеживайте, какое приложение генерирует ICMP / эхо-трафик
У меня проблема с этим, что-то в моей системе (Linux / Fedora 24 / x64) продолжает отправлять ping на несколько IP-адресов,
и мне нравится знать, какой процесс за это отвечает. Я нашел несколько ...
13.04.2017
2
ответа
Просмотр релевантной информации о доступе к файлам из журнала аудита
Предположим, у вас есть машина Linux, и есть три пользователя - user1, user2 и user3, которые могут войти в машину. Вы создали правило $ auditctl -w /etc/file.txt -p rwxa Если вы хотите увидеть ...
14.01.2017
2
ответа
Отобразите историю файла (список пользователей, которые изменили файл),
Существует ли команда для отображения списка пользователей, которые изменили файл, предоставляющий историю файла? Я знаю что возможный с svn/git и т.д. но у нас есть файл конфигурации, который не находится в SVN, и кто-то изменил...
21.04.2016
2
ответа
Сравните конфигурацию Linux со значением по умолчанию
Моей системе не удается обновить. Я подозреваю, что это было нарушено. Существует ли способ сравнить конфигурацию системы с версией по умолчанию, которая должна быть в эту дату и версию ядра? Моей существующей системой является Debian...
19.03.2015
2
ответа
Как найти в последний раз удаленные файлы на OpenSuse?
Я не заблокировал экран на своем OpenSuse Linux и позволил моей девушке сделать все злые вещи, когда я спал. Существует ли способ узнать, удалила ли она какие-либо файлы из моего ПК? Я смотрел на "Дату...
06.05.2014
2
ответа
Как определить, какой пользователь использовался для запуска Tomcat Apache в последний раз (или последние несколько раз)
На Mac или установке Tomcat Linux, как я определяю, какой пользователь использовался в последний раз для запуска Tomcat? Есть ли информация в журналах где-нибудь к тому эффекту? Предположите, что startup.sh и shutdown.sh...
18.12.2013
2
ответа
Действительно ли возможно знать, кто посетил мой корневой каталог?
Предположим, что существуют многие пользователи в кластере Linux, у каждого из них есть его собственный Корневой каталог под/home/xxx, при этом xxx является его именем пользователя (или учетная запись). Если начальная конфигурация системы позволяет их...
24.01.2013
1
ответ
Как регистрировать изменения флагов файлов в файловых системах ext4 и xfs?
Мне было интересно, как регистрировать изменения флагов в файле, например. chattr + какой-то файл. Я понял, что временные метки, показанные stat somefile, бесполезны для аудита изменений флага :, когда файл добавляется, он переопределяет время последнего
02.09.2021
1
ответ
доступ к /var/log/audit/audit.log без пароля root
в RHEL 7.8 drwxr -хр -х. 20 root root 4096 1 мая 11 :13 var drwxr -xr -x. 24 root root 4096 27 сентября 03 :22 log drwx ------. 2 root root 4096 2 сен 03 :34 аудит -rw -------...
01.10.2020
1
ответ
SUSE LINUX 11 -Возможность сбора информации о пользователях (Аудит)
Я добавил следующие строки в файл /etc/audit/audit.rules и перезапустил машину :-w /etc/group -p wa -k identity -w /etc/passwd -p wa -k идентификатор -w /etc/gshadow -p wa -k identity -с /etc/...
29.09.2020
1
ответ
auditd не сжимает журналы во время ротации
Аудит не сжимает журналы. Возможно, это проблема конфигурации. Не могли бы вы сказать мне, что вызывает это в приведенной ниже конфигурации? локальные _события = да запись _логи = да log _файл = /var/log/audit/...
06.07.2020
1
ответ
Не удается зарегистрировать ошибки отказа в доступе с помощью auditctl
Я пытаюсь создать правило auditctl для следующей ситуации :Существует файл, созданный пользователем root, принадлежащий пользователю root и имеющий chmod 700. Таким образом, ни один другой пользователь, кроме пользователя root, не может читать или писать
30.06.2020
1
ответ
Уничтожить ОС, если процесс завершен
У меня есть специальное приложение для мониторинга, которое я развертываю в кластере Linux и хочу защитить его. Я бы хотел, чтобы процесс нельзя было убить. Тем не менее, старшим пользователям нужен root. Я читал, что могу...
08.04.2020
1
ответ
Как регистрировать подключения/отключения исходящих сеансов ssh?
Мне нужно записывать соединения/отключения исходящих сеансов ssh. Это что-то, что аудит может сделать?Я могу получить журналы исходящих подключений с помощью AuditBeat, но сложная часть заключается в том, что...
05.03.2020
1
ответ
Как определить, какой процесс использовал файл сейчас или в прошлом
Это гипотетический вопрос, а не проблема, с которой я сейчас сталкиваюсь. Как определить, какой процесс использовал файл сейчас или в прошлом? Чтобы узнать, какой процесс обращается к имени файла в данный момент, lsof ...
06.12.2019
1
ответ
Можно ли обнаружить кражу данных (доступ к файлам) постфактум?
Предположим, сотрудник пришел в офис на целый день в выходные дни и вскоре после этого подал уведомление. Есть ли способ в Linux (в нашем случае Centos 7) устранить возможность ...
12.11.2019
1
ответ
ausearch: оператор NOT в совпадении строк
При проверке журналов сетевой активности из аудита я хочу исключить несколько известных мне программ, например. Fire Fox. ausearch -x firefox -i выводит все соединения, связанные с firefox. Но распространенные НЕ-операторы...
28.10.2019
1
ответ
Выполнить специальное действие по тайм-ауту bash
Этот вопрос касается только bash, а не ssh или любого другого инструмента. Я хотел бы обнаружить тайм-аут bash, и только тайм-аут :Меня НЕ интересуют никакие другие условия выхода (выход, EOF, ^D или...
22.10.2019
1
ответ
Как интерпретировать вывод /var/log
У меня возникли проблемы с интерпретацией следующего вывода из /var/log. Обе строки показывают один и тот же результат, но разные даты? Что это значит? В настоящее время я провожу аудит, чтобы убедиться, что каталоги...
08.09.2019
1
ответ
Как отключить sudo в контейнерах от ведения журнала аудита на хост
Как отключить sudo внутри контейнеров LXC от записи в журнал аудита на хосте? И хост, и контейнеры — это Fedora 29. Мы запускаем множество контейнеров с автоматическими тестами. Некоторые из этих...
20.08.2019
Еще нет никакого руководства использования этим тегом …!
Руководство использования, также известное как тег выборка Wiki, является короткой аннотацией, которая описывает, когда и почему тег должен использоваться на этом сайте конкретно.