1
ответ
Кто пользователь, «не настроенный» в aureport?
Я не смог найти этого неуловимого «неустановленного» пользователя в / etc / passwd, и нет упоминания о нем в man aureport, хотя она набрала наибольшее количество обращений на мой журнал аудита: # aureport -u -i --summary --start ...
16.09.2014
1
ответ
(CentOS) значение по умолчанию FTP (SFTP) Файл журнала?
Я нахожусь на CentOS v6.4 и использовании его собственного FTP-сервера, который я предполагаю, sftp. (Действительно ли я прав?) Теперь я могу использовать FTP хорошо. Но я должен зарегистрировать меры, принятые Пользователями. Журналы для действий, такой
26.02.2014
1
ответ
auditctl сообщает “О часах файловой системы, не поддерживаемых” в очень старой системе
Когда я выполняю auditctl-l, я добрался: # auditctl-l Никакие правила часы Файловой системы, не поддерживаемые И я имею, уже имеют AUDITSYSCALL, включают в ядре, # zgrep КОНТРОЛИРУЮТ/proc/config.gz CONFIG_AUDIT_ARCH=y...
13.11.2013
0
ответов
Есть ли способ запретить кому-либо запускать оболочку от имени пользователя root?
Я долго размышлял над этим вопросом и считал его невозможным. Можно ли запретить администраторам машины обходить возможности аудита sudo или doas? Например,...
09.08.2021
0
ответов
Анализировать команды журнала аудита как полную команду с аргументами
У меня есть журналы аудита, которые выглядят следующим образом :type=CWD msg=audit (1613110144.560 :260397 ):cwd="/" type=PATH msg=audit (1613110144.560 :260397 ):item=0 name="/usr/bin/sed" inode=393388 dev=...
07.04.2021
0
ответов
Ведение журнала SSH-команд в Linux -Является ли пользовательское ядро единственным способом?
Я провел небольшое исследование, и похоже, что способ, которым Linux хранит историю, связан не столько с безопасностью и аудитом, сколько с помощью пользователя. Даже после внесения изменений мгновенно протоколировать команду и...
15.09.2020
0
ответов
Почему я получаю предупреждение для sudoers.d при проведении аудита с помощью Lynis?
Я наткнулся на Lynis — инструмент аудита безопасности для Linux — и запустил его на своем Raspberry Pi, чтобы посмотреть, смогу ли я еще больше повысить его безопасность. Я получил одно предупреждение в группе аутентификации, которое меня смущает. - ...
05.12.2019
0
ответов
Auditd, Syslog и Journald
Я исследовал эти три решения для ведения журналов auditd, syslog и journald, но до сих пор есть вещи, которые мне неясны. Согласно тому, что я читал, auditd проверяет события в ...
05.10.2019
0
ответов
Недокументированный формат записей журнала аудита Linux
Я пишу синтаксический анализатор для Linux Audit и наткнулся на несколько странных случаев, которые, похоже, не соответствуют стандарт. Моя ссылка - это документация Red Hat. Правильная запись аудита должна ...
01.08.2016
0
ответов
Где я могу найти самый последний словарь стандартных полей событий аудита Linux?
Я пишу конвертер, который принимает журналы аудита Linux в качестве входных данных. Я попытался найти самый последний файл словаря, в котором определены все допустимые имена полей. Я нашел такой файл [1], но ...
01.08.2016
0
ответов
Вывод отчета интерпретации aureport
Я выполнил следующую команду в моей системе RHEL 6, чтобы создать отчет аудита aureport --login --summary -i, который дает следующие выходные данные Сводный отчет о входе в систему
============================
...
05.04.2016
0
ответов
Пользователь без полномочий root для поиска всех файлов с битами SUID и SGID… Требуется разрешение?
Я пишу сценарий аудита, чтобы найти все файлы с битами SUID и SGID в системе, используя следующую команду: find / perm / u = s, g = s Сценарий будет запущен с пользователем без полномочий root. Будет ли этот пользователь ...
26.05.2015
0
ответов
Unix Useradd - Аудит списка пользователей, добавленных в систему [дубликат]
Я хотел бы понять, как я могу вытащить список пользователей, которые были добавлены с определенными привилегиями в систему Unix за определенный период времени. Сейчас я понимаю один способ, как это сделать...
07.08.2014
0
ответов
Регистрация нарушений правил в limits.conf [дубликат]
Я пытаюсь записать сведения о программах, где произошел сбой из-за ограничения ограничения, определенного в limits.conf. Мой первоначальный план состоял в том, чтобы сделать это с помощью системы аудита. Идея заключалась в том, чтобы отслеживать систему
03.09.2013