auditd je komponenta uživatelského prostoru systému Linux Auditing System. Je zodpovědný za zápis auditních záznamů na disk. Prohlížení protokolů se provádí pomocí nástrojů ausearch nebo aureport. Konfigurace pravidel auditu se provádí pomocí obslužného programu auditctl. Během spouštění jsou pravidla v /etc/audit/rules.d/audit.rules (pro CentOS/RHEL 7) čtena auditctl. Samotný audit démon má některé možnosti konfigurace, které si může správce přát přizpůsobit. Najdete je v souboru auditd.conf.
Příspěvek poskytuje vzorové pravidlo auditu pro zachycení uživatelských pověření a příkazů používaných k restartování/vypnutí linuxových serverů a toto pravidlo lze podle potřeby upravit.
Primární konfigurační soubor pro přidání pravidla auditu je „/etc/audit/audit.rules“ a ten musí být aktualizován požadovanými pravidly.
Poznámka :Na CentOS/RHEL 7 je konfigurační soubor /etc/audit/rules.d/audit.rules místo /etc/audit/audit.rules.
Konfigurace auditu
Níže je uveden příklad založený na CentOS/RHEL 6, ale kroky zůstávají stejné i pro CentOS/RHEL 7.
1. Vytvořte zálohu stávající konfigurace.
# cp /etc/audit/audit.rules /etc/audit/audit.rules.bkp
2. Upravte soubor /etc/audit/audit.rules a připojte následující pravidla, aby byl trvalý.
# vi /etc/audit/audit.rules -a exit,always -F arch=b64 -S execve -F path=/sbin/reboot -k reboot [ -k Filter key ] -a exit,always -F arch=b64 -S execve -F path=/sbin/init -k reboot -a exit,always -F arch=b64 -S execve -F path=/sbin/poweroff -k reboot -a exit,always -F arch=b64 -S execve -F path=/sbin/shutdow -k reboot
3. Restartujte auditovanou službu, aby se změny projevily.
# service auditd restart
4. Seznam přidaných pravidel
# auditctl -l LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/reboot key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/init key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/poweroff key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/shutdow key=reboot syscall=execve
Ověřit
Chcete-li filtrovat události restartu z auditního protokolu, musíte zadat klíč filtru.
# ausearch -k reboot time->Mon Jan 4 11:48:20 2016 type=PATH msg=audit(1451926100.004:17): item=1 name=(null) inode=1368522 dev=fc:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 type=PATH msg=audit(1451926100.004:17): item=0 name="/sbin/init" inode=1792404 dev=fc:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 type=CWD msg=audit(1451926100.004:17): cwd="/root" type=EXECVE msg=audit(1451926100.004:17): argc=2 a0="init" a1="6" type=SYSCALL msg=audit(1451926100.004:17): arch=c000003e syscall=59 success=yes exit=0 a0=12706f0 a1=1271190 a2=1268ec0 a3=8 items=2 ppid=2830 pid=2879 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=1 comm="init" exe="/sbin/init" key="reboot
Zde,
uid – Představují ID uživatele.
gid – Představte id skupiny
exe=”/sbin/init” – příkaz proveden