auditd ist die Userspace-Komponente des Linux Auditing Systems. Es ist für das Schreiben von Audit-Aufzeichnungen auf die Festplatte verantwortlich. Das Anzeigen der Protokolle erfolgt mit den Dienstprogrammen aussearch oder aureport. Die Konfiguration der Überwachungsregeln erfolgt mit dem Dienstprogramm auditctl. Während des Starts werden die Regeln in /etc/audit/rules.d/audit.rules (für CentOS/RHEL 7) von auditctl gelesen. Der Audit-Daemon selbst hat einige Konfigurationsoptionen, die der Administrator möglicherweise anpassen möchte. Sie befinden sich in der Datei auditd.conf.
Der Beitrag enthält eine Beispielprüfregel zum Erfassen der Benutzeranmeldeinformationen und des Befehls zum Neustarten/Herunterfahren der Linux-Server, und diese Regel kann nach Bedarf geändert werden.
Die primäre Konfigurationsdatei zum Hinzufügen der Audit-Regel ist „/etc/audit/audit.rules“ und muss mit den erforderlichen Regeln aktualisiert werden.
Hinweis :Unter CentOS/RHEL 7 ist die Konfigurationsdatei /etc/audit/rules.d/audit.rules anstelle von /etc/audit/audit.rules.
Auditd-Konfiguration
Das folgende Beispiel basiert auf CentOS/RHEL 6, aber die Schritte bleiben auch für CentOS/RHEL 7 gleich.
1. Erstellen Sie eine Sicherungskopie der vorhandenen Konfiguration.
# cp /etc/audit/audit.rules /etc/audit/audit.rules.bkp
2. Bearbeiten Sie die Datei /etc/audit/audit.rules und hängen Sie die folgenden Regeln an, um sie persistent zu machen.
# vi /etc/audit/audit.rules -a exit,always -F arch=b64 -S execve -F path=/sbin/reboot -k reboot [ -k Filter key ] -a exit,always -F arch=b64 -S execve -F path=/sbin/init -k reboot -a exit,always -F arch=b64 -S execve -F path=/sbin/poweroff -k reboot -a exit,always -F arch=b64 -S execve -F path=/sbin/shutdow -k reboot
3. Starten Sie den auditd-Dienst neu, damit die Änderungen wirksam werden.
# service auditd restart
4. Listen Sie die hinzugefügten Regeln auf,
# auditctl -l LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/reboot key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/init key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/poweroff key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/shutdow key=reboot syscall=execve
Bestätigen
Um die Neustartereignisse aus dem Überwachungsprotokoll zu filtern, muss der Filterschlüssel angegeben werden.
# ausearch -k reboot time->Mon Jan 4 11:48:20 2016 type=PATH msg=audit(1451926100.004:17): item=1 name=(null) inode=1368522 dev=fc:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 type=PATH msg=audit(1451926100.004:17): item=0 name="/sbin/init" inode=1792404 dev=fc:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 type=CWD msg=audit(1451926100.004:17): cwd="/root" type=EXECVE msg=audit(1451926100.004:17): argc=2 a0="init" a1="6" type=SYSCALL msg=audit(1451926100.004:17): arch=c000003e syscall=59 success=yes exit=0 a0=12706f0 a1=1271190 a2=1268ec0 a3=8 items=2 ppid=2830 pid=2879 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=1 comm="init" exe="/sbin/init" key="reboot
Hier
uid – Stellt die Benutzer-ID dar.
gid – Repräsentiert die Gruppen-ID
exe="/sbin/init" – Befehl ausgeführt