FreeBSD - настройка системы аудита

Начиная с версии 6.2 ОС FreeBSD включает в себя встроенную систему аудита событий.
Мне требуется логировать следующие события для пользователя root:

  • успешный/неуспешный вход/выход
  • успешный/неуспешный запуск приложений

Настройка производилась в ОС FreeBSD 9.0-RELEASE

Настройка

Отредактируем файл /etc/security/audit_control

dir:/var/audit
flags:lo,ex,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

Отредактируем файл /etc/security/audit_user

root:lo,ex:no

Отредактируем файл /etc/security/audit_warn

logger -p security.warning "audit warning: $@"

#
# Compress audit trail files on close.
#
if [ "$1" = closefile ]; then
        gzip -9 $2
fi

Запустим службу

echo 'auditd_enable="YES"' >> /etc/rc.conf
/etc/rc.d/auditd start

Результаты

Посмотрим лог:

# praudit /var/audit/current
header,145,11,execve(2),0,Thu Aug 30 12:10:53 2012, + 80 msec
exec arg,/etc/rc.d/auditd,start
path,/etc/rc.d/auditd
attribute,555,root,wheel,69,663159,2655400
subject,root,root,wheel,root,wheel,16732,16560,54932,172.20.4.11
return,success,0
trailer,145
header,142,11,execve(2),0,Thu Aug 30 12:10:53 2012, + 83 msec
exec arg,/bin/ps,-ww,-p,16732,-o,jid=
path,/bin/ps
attribute,555,root,wheel,69,47384,192640
subject,root,root,wheel,root,wheel,16733,16560,54932,172.20.4.11
return,success,0
trailer,142
header,157,11,execve(2),0,Thu Aug 30 12:10:53 2012, + 88 msec
exec arg,/bin/ps,-ww,-o,pid=,-o,jid=,-o,command=,-ax
path,/bin/ps
attribute,555,root,wheel,69,47384,192640
subject,root,root,wheel,root,wheel,16735,16560,54932,172.20.4.11
return,success,0
trailer,157
header,143,11,execve(2),0,Thu Aug 30 12:11:33 2012, + 789 msec
exec arg,cat,/etc/security/audit_warn
path,/bin/cat
attribute,555,root,wheel,69,47361,189449
subject,root,root,wheel,root,wheel,16761,16560,54932,172.20.4.11
return,success,0
trailer,143
header,133,11,execve(2),0,Thu Aug 30 12:13:47 2012, + 703 msec
exec arg,crontab,-l
path,/usr/bin/crontab
attribute,4555,root,wheel,69,626461,2530640
subject,root,root,wheel,root,wheel,16762,16564,54957,172.20.4.11
return,success,0
trailer,133
header,150,11,execve(2),0,Thu Aug 30 12:13:49 2012, + 533 msec
exec arg,praudit,/var/audit/current
path,/usr/sbin/praudit
attribute,555,root,wheel,69,623154,2484222
subject,root,root,wheel,root,wheel,16763,16560,54932,172.20.4.11
return,success,0
trailer,150

Здесь журнал показал, что пользователь root запускал:

/etc/rc.d/auditd start
/bin/ps
cat /etc/security/audit_warn
crontab -l
praudit /var/audit/current

Также можно смотреть пойманные события в реальном времени:

praudit /dev/auditpipe0

p.s. для полного понимания как и что логировать рекомендую прочесть документацию по теме в MAN и HandBook.

Ссылки

Комментарии

 
blog/2012/08/30-freebsd_-_настройка_системы_аудита.txt · Последние изменения: 2012/08/30 12:22 — Антон Бугреев · []