私はこれを解決しようとしてきましたが、言うのは簡単ですが、実行するのは難しいようです。現在、エラー、失敗したログオン、誰が何にいつアクセスしたかなどを送信するサーバーを設定しています...
ユーザーが権限変更を行おうとした場合に、そのユーザーを追跡する方法を考えています。たとえば、Bob が 'chmod 777' を実行したが、そのファイルを変更する権限がないとします。そのため、システムは、その操作はできないと伝える代わりに、試行が行われたことを示すエラーを返します。そのエラーをログに記録するにはどうしたらよいですか (まだ記録されていない場合)。また、その場所はどこに保存されますか? /var/log/messages ですか? または、これを希望どおりに動作させるには、auditctl ルールを設定する必要がありますか? よろしくお願いします
答え1
からman auditctl:
To watch a file for changes (2 ways to express):
auditctl -w /etc/shadow -p wa
auditctl -a always,exit -F path=/etc/shadow -F perm=wa
- -w: パス (/etc/shadow など) のファイル システム オブジェクトのウォッチを挿入します。
- -p: ファイル システム監視の権限フィルターを設定します。w=書き込み、x=実行、a=属性変更。
-k を追加すると、を使用してこれらのイベントの監査ログを検索できるようになりますausearch。
- -k: 監査ルールにフィルター キーを設定します。フィルター キーは、最大 31 バイトの任意のテキスト文字列です。これにより、ルールによって生成された監査レコードを一意に識別できます。
/etc/audit/audit.rulesルールを永続的にするには、 実際にルールを設定する必要があります。auditdも有効化して起動する必要があります (systemctl enable auditd.serviceおよびsystemctl start auditd.service)。
詳細はこちらをご覧くださいRed Hat ソリューション記事CentOS を実行しているため、ここで説明する詳細は直接適用されます。