Содержание имело отношение к стандарту Аудита Linux, который является самым популярным инструментом аудита, используемым в GNU/дистрибутивах Linux.
2
ответа
Вопросы по аудиту
После выполнения следующей инструкции auditctl -a always, exit -F path=/usr/bin/chcon -F perm=x -F auid>=1000 -F auid!=unset -F key = привилегированный-priv_change он вернул следующую ошибку -F ...
25.02.2020
2
ответа
Контекст безопасности SELinux для родительских каталогов
Я использую компьютер RHEL с включенным SELinux. Я хотел бы изменить положение файла журнала auditd на /mydir/log/audit.log. Я могу применить контекст безопасности system_u:object_r:auditd_log_t:s0 к этому ...
02.08.2019
2
ответа
Получение ошибки при остановке Auditd
Я недавно внес изменения в мой файл audit.rules на 32-битной машине RHEL 6.9, и я знаю, что с конца файла есть - E 2 Чтобы сделать файл неизмеренным перезагрузкой необходим для новых правил к ...
08.11.2018
2
ответа
Как мне проанализировать сообщение SELinux SYSCALL?
Итак, у меня есть три записи журнала аудита type = AVC msg = audit (1488396169.095: 2624951): avc: denied {setrlimit} для pid = 16804 comm = "bash" scontext = system_u: system_r: httpd_t: s0 tcontext = system_u: ...
01.03.2017
1
ответ
Как отслеживать звонки в статистику?
Я хочу отслеживать вызовы статистики для любого файла в каталоге. Я знаю, что inotifywait может прослушивать создание файлов и т. д., но я не знаю ничего, что могло бы прослушивать статистику. Это на Amazon Linux 2. Есть идеи?
09.09.2021
1
ответ
Rsyslog -Разбор значения журнала изменений audit.log/omprog
Я пытаюсь проанализировать файл audit.log с помощью rsyslog, используя сценарий bash, чтобы преобразовать шестнадцатеричную часть proctitle в ascii. Однако я не получаю результатов :в файле аудита _ascii.log нет строк...
16.08.2021
1
ответ
Auditd augenrules потеряли смысл
[root@rock :/var/log/audit] :статус аудита службы Перенаправление в /bin/systemctl status auditd.service auditd.service -Служба аудита безопасности загружена :загружена (/usr/lib/systemd/system/auditd....
11.01.2021
1
ответ
Имя ротации журнала аудита Linux и сжатие RHEL CentOS 7
Требуется установить еженедельное или ежемесячное сохранение файла /var/log/audit/audit.log в реальном времени в сжатый файл с именем, например Audit_2020-05-05.log.gz В RHEL/CentOS 7.x есть ли ...
14.05.2020
1
ответ
auditd / auditctl: Являются ли chown и chmod «запись» -w типом операции?
Являются ли chown и chmod «запись» -w типом операции? Я использую auditd для просмотра прав доступа к папкам. Есть разные варианты чтения, записи, выполнения, атрибутов. Я просто хочу посмотреть chmod или chown...
21.04.2020
1
ответ
Sniff-пароль, введенный при чтении и переданный в качестве аргумента командной строки
Я хочу показать, что вводить пароли через чтение небезопасно. Чтобы встроить это в полуреалистичный сценарий -, скажем, я использую следующую команду, чтобы запросить у пользователя пароль и получить 7z¹...
23.01.2020
1
ответ
протокол обмена auditd
Сейчас я работаю с auditd. Его можно настроить для отправки журналов на удаленный сервер с помощью audispd. Но вместо того, чтобы запускать еще один экземпляр auditd на целевой машине, я просто хочу написать свой собственный...
29.10.2019
1
ответ
Как получить запись type=USER_TTY в audit.log?
Какое правило аудита нужно добавить, чтобы регистрировать запись USER_TTY? Будет ли он записывать все выполненные команды в поле msg?
22.09.2019
1
ответ
Как разобрать audit_cmd в логах auditd?
У меня есть несколько строк auditd.log, которые содержат ключ audit_cmd, за которым следует длинная строка HEX. type=USER_CMD msg=audit(): pid= uid= auid= ses=...
20.09.2019
1
ответ
rsyslog omprog при ротации файла журнала аудита
У нас есть вариант использования, когда нам нужно сжать файл журнала при его ротации. В частности, у нас есть журнал аудита, который ротируется в зависимости от размера... Поэтому, когда размер файла журнала достигает...
18.09.2019
1
ответ
Тест CIS не проходит проверку конфигурации хоста
После добавления ниже правил аудита для артефактов докеров: $ sudo auditctl -l
-w /usr/bin/dockerd -p rwxa -k докер
-w /var/lib/докер -p rwxa -k докер
-w /etc/докер -p rwxa -k докер
-w /lib/systemd/...
12.09.2019
1
ответ
Как настроить auditd для сбора журналов из /proc
Я искал это около 2 дней и пришел с пустыми -руками. Я ищу способ создать оповещение об угрозах для сброса учетных данных на основе Linux -в Splunk. Для этого мне нужно уметь...
08.09.2019
1
ответ
Как отключить ведение журнала, связанного с sudo, для успешного выполнения команды в CentOS/Fedora?
Вы можете отключить сообщения журнала, связанные с sudo, добавив что-то вроде Defaults:juser !syslog в файл sudoers. Это отключит ведение журнала в системный журнал. Но, например, В CentOS/Fedora есть Auditd ...
07.06.2019
1
ответ
FreeBSD: Как вы используете auditd для регистрации открытия, чтения, перемещения, удаления или изменения файлов и папок?
Как вы используете auditd для регистрации открытия, чтения, перемещения, удаления или изменения файлов и папок? Глядя на информацию здесь, я не вижу, как выполнить задачу. Я пытаюсь получить ...
24.05.2019
1
ответ
Как мы можем исключить результаты от пользователей с tty=(none) в auditd?
Есть ли способ исключить записи о событиях с tty=(none)? Я перепробовал много способов добавить правило, но ничего не вышло.
Это мой текущий файл журнала: > > type=SYSCALL msg=audit(...
10.04.2019
1
ответ
как извлечь только несколько записей из audit.log
Как извлечь audit.log При запуске службы auditd в Linux она записывает все выполненные команды как выполненные, но, кроме того, записывает также и фоновый процесс (команды, которые не выполняются. ..
09.04.2019
1
ответ
Где я попадаю в кэш невидимых SD-карт?
Я пытаюсь очистить SD-карту, подключенную через USB-ключ. Вот что я делаю: # dd if =/dev/zero =/dev/sdb bs = $ (1024 * 4)
dd: ошибка записи '/dev/sdb ': на устройстве не осталось места
1002267 + 0 записей в
...
20.03.2019
1
ответ
Отсутствует системный вызов при malloc после free
Пока я немного поигрался с системой аудита ядра, я сделал небольшую программу на C: #include
# include int main (int argc, char ** argv) {void * т; while (1) {...
08.03.2019
1
ответ
как найти ключ ssh в файле журнала аудита?
я создал ключ ssh для соединения двух хостов (клиент 192.168.4.107 и сервер 192.168.4.106). на клиентской машине я запустил эту команду, и соединение по ssh работает: ssh-keygen
ssh-copy-id -i /root/.ssh / ...
21.02.2019
1
ответ
Проверьте версию Auditd
. Есть лучший / более правильный способ проверить версию Auditd на машине Linux, чем для проверки ее в рамках установленной программы? Например, на Ubuntu в Run / usr / bin / dpkg-query -w --showformat '...
10.01.2019
1
ответ
Есть ли альтернатива auditd, позволяющая регистрировать разные лог-файлы для разных фильтров?
Auditd не позволяет регистрировать разные фильтры в разных файлах (ср. man-страницы). Есть ли альтернатива, которая позволяет, в частности, разделить действия с учетными записями?
24.09.2018
1
ответ
aureport -l не показывает успешный счетчик пользователя, использовавшего команду "su"
, почему команда aureport -l --success --summary -i показывает успешный счетчик пользователя, использовавшего команду "su". Вывод упомянутой выше команды вычисляет только сеансы sshd, gdm, но не ...
06.05.2018
1
ответ
Auditd не обнаруживает изменения, сделанные с помощью chattr
Я хочу отслеживать конкретный каталог с помощью auditd, чтобы любые изменения регистрировались. Я создал правило, используя: auditctl -w / etc / my_path_to_monitor -p wa -k my_rule Это отлично работает для всего ...
22.02.2018
1
ответ
Может ли aureport показать полный путь к файлам?
Я отслеживаю auditd.log и передаю его в ausearch, а затем в aureport с целью получения простого потока измененных файлов :tail -f /var/log/audit/audit.log | ausearch -k мой ключ _| aureport -f --...
14.01.2018
1
ответ
Как отличить xterm от firefox, если оба вызывают syscall = socketcall ( recvmsg)
---- type = PROCTITLE msg = audit (Воскресенье, 03
Сентябрь 2017 г. ^ E.370: 2020074): proctitle = / usr / bin / xterm -fg white -bg
черный type = SOCKETCALL msg = audit (Воскресенье, 3 сентября 2017 г. ^ E.370: 2020074)
: nargs = 3 a0 = ...
03.09.2017
1
ответ
cronjob не перенаправляет вывод команды при использовании с опцией
Я не могу перенаправить вывод команды в файл при запуске с cronjob [root @ mail /] # crontab -l * / 1 * * * * / sbin / ausearch -i> / rummy [root @ mail /] # cat / rummy Это ...
11.06.2017