Linux (Centos/RHEL) - настройка системы аудита

Ядро 2.6 уже включает в себя систему аудита. Аудит производится на уровне системных вызовов. Ниже пример простой настройки системы аудита.

Установка

yum install audit

Настройка

/etc/audit/audit.rules

## First rule - delete all
-D

## Increase the buffers to survive stress events.
## Make this bigger for busy systems
-b 320

## System files
-w /etc/audit/auditd.conf -p wa
-w /etc/audit/audit.rules -p wa
-w /etc/passwd -p wa
-w /etc/group -p wa 
-w /etc/shadow -p wa
-w /etc/ssh/sshd_config -p wa

## Services
-w /etc/init.d/
-w /etc/init.d/auditd -p wa 

## Iptables
-w /etc/init.d/iptables -p wax

Запуск

service auditd start
chkconfig --level 3 auditd on

Отчеты

aureport -f -i

File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 28.08.2012 08:07:03 /etc/passwd open yes /usr/sbin/useradd unset 1668
2. 28.08.2012 08:07:03 /etc/ rename yes /usr/sbin/useradd unset 1671
3. 28.08.2012 08:07:21 /etc/ rename yes /usr/sbin/userdel unset 1678
4. 28.08.2012 08:07:21 /etc/passwd open yes /usr/sbin/userdel unset 1673
5. 28.08.2012 08:08:41 /etc/audit/ rename yes /usr/bin/vim unset 1684
6. 28.08.2012 08:08:41 /etc/audit/ open yes /usr/bin/vim unset 1686
7. 28.08.2012 08:08:41 /etc/audit/audit.rules chmod yes /usr/bin/vim unset 1687
8. 28.08.2012 08:08:41 /etc/audit/audit.rules setxattr yes /usr/bin/vim unset 1688
9. 28.08.2012 08:08:41 /etc/audit/audit.rules setxattr yes /usr/bin/vim unset 1689
10. 28.08.2012 08:11:05 /etc/audit rename yes /usr/bin/vim unset 1723
11. 28.08.2012 08:11:05 /etc/audit open yes /usr/bin/vim unset 1725
12. 28.08.2012 08:11:05 audit.rules chmod yes /usr/bin/vim unset 1726
13. 28.08.2012 08:11:05 audit.rules setxattr yes /usr/bin/vim unset 1727
14. 28.08.2012 08:11:05 audit.rules setxattr yes /usr/bin/vim unset 1728
15. 28.08.2012 08:13:39 /etc/audit rename yes /usr/bin/vim unset 1757
16. 28.08.2012 08:13:39 /etc/audit open yes /usr/bin/vim unset 1759
17. 28.08.2012 08:13:39 audit.rules chmod yes /usr/bin/vim unset 1760
18. 28.08.2012 08:13:39 audit.rules setxattr yes /usr/bin/vim unset 1761
19. 28.08.2012 08:13:39 audit.rules setxattr yes /usr/bin/vim unset 1762
20. 28.08.2012 08:14:01 /etc/shadow open yes /usr/sbin/crond unset 1782
21. 28.08.2012 08:15:01 /etc/shadow open yes /usr/sbin/crond unset 1787
22. 28.08.2012 08:15:18 /etc/shadow open yes /bin/cat unset 1792
23. 28.08.2012 08:16:01 /etc/shadow open yes /usr/sbin/crond unset 1793
24. 28.08.2012 08:16:01 /etc/shadow open yes /usr/sbin/crond unset 1796
25. 28.08.2012 08:16:09 /etc/audit rename yes /usr/bin/vim unset 1804
26. 28.08.2012 08:16:09 /etc/audit open yes /usr/bin/vim unset 1806
27. 28.08.2012 08:16:09 audit.rules chmod yes /usr/bin/vim unset 1807
28. 28.08.2012 08:16:09 audit.rules setxattr yes /usr/bin/vim unset 1808
29. 28.08.2012 08:16:09 audit.rules setxattr yes /usr/bin/vim unset 1809
30. 28.08.2012 08:17:02 /etc/audit rename yes /usr/bin/vim unset 1863
31. 28.08.2012 08:17:02 /etc/audit open yes /usr/bin/vim unset 1865
32. 28.08.2012 08:17:02 audit.rules chmod yes /usr/bin/vim unset 1866
33. 28.08.2012 08:17:02 audit.rules setxattr yes /usr/bin/vim unset 1867
34. 28.08.2012 08:17:02 audit.rules setxattr yes /usr/bin/vim unset 1868
35. 28.08.2012 08:22:56 /etc/audit rename yes /usr/bin/vim unset 1910
36. 28.08.2012 08:22:56 /etc/audit open yes /usr/bin/vim unset 1912
37. 28.08.2012 08:22:56 audit.rules chmod yes /usr/bin/vim unset 1913
38. 28.08.2012 08:22:56 audit.rules setxattr yes /usr/bin/vim unset 1914
39. 28.08.2012 08:22:56 audit.rules setxattr yes /usr/bin/vim unset 1915
40. 28.08.2012 08:23:34 /sbin/iptables execve yes /sbin/iptables unset 1943
41. 28.08.2012 08:23:34 /sbin/iptables execve yes /sbin/iptables unset 1944
42. 28.08.2012 08:23:34 /sbin/iptables execve yes /sbin/iptables unset 1945
43. 28.08.2012 08:23:34 /sbin/iptables execve yes /sbin/iptables unset 1946
44. 28.08.2012 08:23:34 /sbin/iptables execve yes /sbin/iptables unset 1947
45. 28.08.2012 08:23:34 /sbin/iptables execve yes /sbin/iptables unset 1942
46. 28.08.2012 08:24:12 /etc/audit rename yes /usr/bin/vim unset 1953
47. 28.08.2012 08:24:12 /etc/audit open yes /usr/bin/vim unset 1955
48. 28.08.2012 08:24:12 audit.rules chmod yes /usr/bin/vim unset 1956
49. 28.08.2012 08:24:12 audit.rules setxattr yes /usr/bin/vim unset 1957
50. 28.08.2012 08:24:12 audit.rules setxattr yes /usr/bin/vim unset 1958
51. 28.08.2012 08:30:31 /etc/audit rename yes /usr/bin/vim unset 2017
52. 28.08.2012 08:30:31 /etc/audit open yes /usr/bin/vim unset 2019
53. 28.08.2012 08:30:31 audit.rules chmod yes /usr/bin/vim unset 2020
54. 28.08.2012 08:30:31 audit.rules setxattr yes /usr/bin/vim unset 2021
55. 28.08.2012 08:30:31 audit.rules setxattr yes /usr/bin/vim unset 2022
56. 28.08.2012 08:30:55 /etc/audit rename yes /usr/bin/vim unset 2044
57. 28.08.2012 08:30:55 /etc/audit open yes /usr/bin/vim unset 2046
58. 28.08.2012 08:30:55 audit.rules chmod yes /usr/bin/vim unset 2047
59. 28.08.2012 08:30:55 audit.rules setxattr yes /usr/bin/vim unset 2048
60. 28.08.2012 08:30:55 audit.rules setxattr yes /usr/bin/vim unset 2049
61. 28.08.2012 08:31:12 /etc/init.d/iptables execve yes /bin/bash unset 2079
62. 28.08.2012 08:31:20 /etc/init.d/iptables execve yes /bin/bash unset 2080
63. 28.08.2012 08:35:28 /etc/audit rename yes /usr/bin/vim unset 2110
64. 28.08.2012 08:35:28 /etc/audit open yes /usr/bin/vim unset 2112
65. 28.08.2012 08:35:28 audit.rules chmod yes /usr/bin/vim unset 2113
66. 28.08.2012 08:35:28 audit.rules setxattr yes /usr/bin/vim unset 2114
67. 28.08.2012 08:35:28 audit.rules setxattr yes /usr/bin/vim unset 2115
68. 28.08.2012 08:35:50 /etc/init.d/iptables execve yes /bin/bash unset 2116
69. 28.08.2012 08:54:43 /etc/init.d/iptables execve yes /bin/bash unset 2278

Рассмотрим подробнее последнее событие № 2278

ausearch -a 2278
----
time->Tue Aug 28 08:54:43 2012
type=PATH msg=audit(1346144083.021:2278): item=2 name=(null) inode=1507633 dev=ca:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0
type=PATH msg=audit(1346144083.021:2278): item=1 name=(null) inode=163906 dev=ca:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:shell_exec_t:s0
type=PATH msg=audit(1346144083.021:2278): item=0 name="/etc/init.d/iptables" inode=1770707 dev=ca:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:initrc_exec_t:s0
type=CWD msg=audit(1346144083.021:2278):  cwd="/root"
type=EXECVE msg=audit(1346144083.021:2278): argc=2 a0="/bin/sh" a1="/etc/init.d/iptables"
type=EXECVE msg=audit(1346144083.021:2278): argc=3 a0="/bin/sh" a1="/etc/init.d/iptables" a2="stop"
type=SYSCALL msg=audit(1346144083.021:2278): arch=c000003e syscall=59 success=yes exit=0 a0=1d2f9b20 a1=1d30f150 a2=1d318a20 a3=8 items=3 ppid=11573 pid=12001 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=4294967295 comm="iptables" exe="/bin/bash" subj=root:system_r:initrc_t:s0 key=(null)

p.s. Аудит показал, что в 08:54:43 был остановлен сервис iptables.

Ссылки

Комментарии

 
blog/2012/08/28-linux_-_audit.txt · Последние изменения: 2012/08/28 15:57 — Антон Бугреев · []