auditd je komponenta uživatelského prostoru auditovacího systému Linux. To znamená, že uživatelé systému budou moci spouštět auditování pro konfiguraci pravidel a výstrah pro funkce auditování v systému Linux. Jednou z nejlepších věcí na auditu je, že je těsně integrován s jádrem, takže nám dává moc monitorovat téměř vše, co chceme, opravdu.
Aby uživatelé mohli vidět, co se děje, může auditd zaznamenávat všechny události související s auditem na disk a k procházení souborů protokolu můžeme použít různé nástroje, jako je ausearch nebo aureport. Ve výchozím nastavení nejsou konfigurována žádná pravidla. Naše pravidla musíme zapsat do /etc/audit/rules.d/audit.rules konfigurační soubor, který bude načten a budou použity odpovídající akce auditu.
Ignorování/vyloučení souboru/adresáře z pravidla auditu
Vyjma adresářů
Nejjednodušší způsob, jak to udělat, je jednoduše zakázat cestu z protokolování, například:
# vi /etc/audit/rules.d/audit.rules -a never,exclude -F dir=/path/to/exclude -k exclude_dir
Výše uvedené vyloučí adresář /cesta/k/exclude z protokolování auditovaným.
Na CentOS/RHEL 6 je konfigurační soubor /etc/audit/audit.rules místo /etc/audit/rules.d/audit.rules.Vyloučení souborů
Vyloučení souborů z auditu:
# vi /etc/audit/rules.d/audit.rules -a never,exclude -F path=/file_to_exclude -k exclude_file
Zde,
-a – Přidat pravidlo na konec seznamu s akcí.
nikdy – Nebudou generovány žádné záznamy auditu.
vyloučit – Přidejte pravidlo do seznamu filtrů vyloučení typů událostí
-F – Pole pravidla, jako je cesta, číslo inodu, název souboru atd.
Pole jiných pravidel použitá k vyloučení
Můžete také zakázat auditování souborů/adresářů pomocí různých jiných polí pravidel, jako je číslo inodu, název příkazu/aplikace jako /sbin/rm atd.
# vi /etc/audit/rules.d/audit.rules -a never,exclude -F exe=/usr/bin/java -k exclude_java -a never,exclude -F inode=17910851 -k exclude_inode
vyloučit všechny operace z UID
Chcete-li vyloučit všechny operace z uid, přidejte níže uvedený formát.
# vi /etc/audit/rules.d/audit.rules -a exit,never -F auid=[UID number]
Zakázat neměnný režim
Pokud je systém auditu v neměnném režimu, nejsou povoleny žádné změny pravidel. Ujistěte se tedy, že jste také okomentovali v /etc/audit/audit.rules pod záznamem, pokud jste již nekomentovali.
# vi /etc/audit/audit.rules # Make the configuration immutable -- reboot is required to change audit rules #-e 2
Po provedení výše uvedených změn musíte restartovat systém.
# shutdown -r now
V normálních případech jednoduše restartujte auditovanou službu:
# service auditd restart