모든 변경 사항을 기록할 수 있도록 auditd를 사용하여 특정 디렉터리를 모니터링하고 싶습니다. 다음을 사용하여 규칙을 만들었습니다.
auditctl -w /etc/my_path_to_monitor -p wa -k my_rule
이것은 지금까지 테스트한 모든 것에 훌륭하게 작동합니다.와는 별개로chattr다음과 같은 변경 사항을 사용하십시오 .
chattr +S /etc/my_path_to_monitor/a_file
auditd를 사용해 chattr도 로그 메시지가 생성되지 않습니다. 그러한 변경 사항을 감사하기 위해 auditd를 어떻게 사용할 수 있습니까?
업데이트: 찾았어요고대 라인chattr시스템 호출을 기록하지 않는 auditd 정보 . auditd 호출을 기록하지만 영향을 받는 파일과 연결하지 않으므로 여전히 정체 상태입니다.
답변1
매뉴얼을 읽고 구성에 대해 동일한 결론에 도달했으며 로깅에서도 동일한 결과를 얻었습니다. 실험 결과 다음과 같은 구성을 통해 목적을 달성할 수 있음을 확인했습니다.
auditctl -w /etc/my_path_to_monitor -p warx -k my_rule
audit추가로 구성할 계획이라면 audit추가 리소스를 제공해 주세요.Red Hat 보안 기술 구현 가이드DISA(Defense Information Systems Agency)에서 개발한 STIG(STIG)는 탁월한 규칙 기준을 가지고 있습니다 audit. 이는 사용 중인 모든 Linux 배포판에 여전히 대부분 적용되며 사용 중인 시스템에 맞게 약간의 보간이 적용될 수 있습니다.