auditd에서 tty=(none)인 사용자에 대한 결과를 어떻게 제외합니까?

tag-icon tag-icon linux tty linux-audit
auditd에서 tty=(none)인 사용자에 대한 결과를 어떻게 제외합니까?

tty=(none)으로 이벤트 로깅을 제외하는 방법이 있습니까?

규칙을 추가하는 방법을 여러 가지 시도했지만 성공하지 못했습니다. 이것은 내 현재 로그 파일입니다.

 > > type=SYSCALL msg=audit(1554390377.124:5): arch=40000003 syscall=11
    > > success=yes exit=0 a0=810cf88 a1=810bd88 a2=80f5008 a3=810bd88 items=2
    > > ppid=9991 pid=10497 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0
    > > egid=0 sgid=0 fsgid=0 ses=4294967295 tty=(none) comm="date"
    > > exe="/bin/busybox.nosuid" key=(null)  
    > 
    > > type=EXECVE msg=audit(1554390377.124:5): argc=2 a0="date" a1="+%m%d%y-%H:%M:%S:%N"
    > 
    > > type=CWD msg=audit(1554390377.124:5): cwd="/" type=PATH
    > > msg=audit(1554390377.124:5): item=0 name="/bin/date" inode=1538
    > > dev=b3:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
    > > 
    > > type=PATH msg=audit(1554390377.124:5): item=1 name=(null) inode=969
    > > dev=b3:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
    > 
    > > type=SYSCALL msg=audit(1554390389.524:36): arch=40000003 syscall=11
    > > success=yes exit=0 a0=80f68a8 a1=80f6ae8 a2=80f3008 a3=80f6ae8 items=2
    > > ppid=9906 pid=10592 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0
    > > egid=0 sgid=0 fsgid=0 ses=4294967295 tty=pts0 comm="cat"
    > > exe="/bin/busybox.nosuid" key=(null) 
    > > type=EXECVE
    > > msg=audit(1554390389.524:36): argc=2 a0="cat" a1="/tmp/cpuinfo"
    > > type=CWD msg=audit(1554390389.524:36): cwd="/"

필요한 것은 로그 파일의 다음 줄입니다. 여기서 tty=pts0/pts[모든 숫자]:

> type=SYSCALL msg=audit(1554390389.524:36): arch=40000003 syscall=11
> success=yes exit=0 a0=80f68a8 a1=80f6ae8 a2=80f3008 a3=80f6ae8 items=2
> ppid=9906 pid=10592 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0
> egid=0 sgid=0 fsgid=0 ses=4294967295 tty=pts0 comm="cat"
> exe="/bin/busybox.nosuid" key=(null) 
> type=EXECVE
> msg=audit(1554390389.524:36): argc=2 a0="cat" a1="/tmp/cpuinfo"
> type=CWD msg=audit(1554390389.524:36): cwd="/"
> type=PATH
> msg=audit(1554390389.524:36): item=0 name="/bin/cat" inode=1538
> dev=b3:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
> type=PATH msg=audit(1554390389.524:36): item=1 name=(null) inode=969
> dev=b3:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

답변1

내가 이해하는 한도에서는auditd를 사용하여 파일을 모니터링할 때 특정 사용자 또는 그룹을 제외하는 방법그리고auditd를 사용하여 시스템 호출을 감사할 때 특정 사용자, 그룹 또는 서비스를 제외하는 방법_F!, ()가 아닌 필터를 사용하여 특정 서비스와 키를 제외할 수 있습니다 .

-F subj_type!=SYSCALL

그리고/또는

-F tty=(none)

어쩌면 더 많은 사양을 추가해야 할 수도 있습니다.

관련 정보