FreeBSD: 파일과 폴더가 열리거나, 읽거나, 이동되거나, 삭제되거나 수정될 때 감사를 사용하여 기록하는 방법은 무엇입니까?

Question

설명16.3. 감사 구성실제로 매우 명확하고 요점이 있습니다. 당신은 당신이 시도하고 배운 것을 설명하지도 않고 질문을 합니다. 하지만 단계별로 안내해 보겠습니다. 일반적으로 말하면 다른 서비스와 마찬가지로 서비스를 시작하기만 하면 됩니다. 출력을 확인하십시오. 그런 다음 적절하게 변경합니다.

먼저 감사 하위 시스템을 시작하는 방법에 대한 섹션을 따르세요.

sysrc auditd_enable=YES

서비스를 시작합니다.

service auditd start

정말 쉽습니다! 이제 시스템에서 감사가 실행 중입니다. 이제 살펴 보겠습니다.16.3.2.1. audit_control 파일:

dir:/var/audit
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

dir및 을 기록해 두십시오 flags. 먼저 /var/audit지정된 디렉토리를 살펴보십시오 dir. auditd실행하면 2개의 새 파일이 표시됩니다. 날짜로 이름이 지정된 활동 로그 파일 .not_terminated과 이름이 current. 여기에 로그가 저장됩니다. 이 파일을 찾아보면 바이너리 형식이라는 것을 알 수 있습니다. 그럼 속임수를 쓰고 다음 장을 살펴보겠습니다.16.4. 감사 추적 사용. 이것은 우리가 praudit일반 텍스트를 얻는 데 사용한 것을 보여줍니다. 시스템에 다시 로그인하고 다음 명령을 사용하여 기록되는 방식을 확인합니다.

praudit /var/audit/current

다음과 같습니다.

header,56,11,audit startup,0,Thu May 23 16:18:46 2019, + 609 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,97,11,OpenSSH login,0,Thu May 23 16:21:03 2019, + 443 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,successful login clan
return,success,0
trailer,97
header,92,11,logout - local,0,Thu May 23 16:21:15 2019, + 90 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,sshd logout clan
return,success,0
trailer,92

먼저 auditd의 시작을 봅니다. 그러면 로그인된 모습을 볼 수 있습니다. 그런 다음 로그아웃하세요.

이제 리뷰 시스템을 사용할 수 있음을 확인했습니다. 그런 다음 귀하의 특정 요구 사항을 검토해 보겠습니다. 귀하는 다음을 요청합니다:

열기, 읽기, 이동, 삭제 또는 수정

그럼 테이블을 살펴볼까요?16.3.1.이벤트 선택 표현가장 관련성이 높은 항목을 찾으세요.

fr  file read   Audit events in which data is read or files are opened for reading.
fw  file write  Audit events in which data is written or files are written or modified.
cl  file close  Audit calls to the close system call.

아마도 당신은 다음에 관심이 있을 것입니다:

fa  file attribute access   Audit the access of object attributes such as stat(1) and pathconf(2).
fc  file create Audit events where a file is created as a result.
fd  file delete Audit events where file deletion occurs.

flags이 지식을 바탕으로 이제 다음을 설정할 수 있습니다 /etc/security/audit_control.

flags:fr,fw,cl,fa,fc,fd

또는 기본값을 유지하려는 경우:

flags:lo,aa,fr,fw,cl,fa,fc,fd

원하는 모든 것을 얻지 못했다고 생각되면 all필요한 이벤트 클래스를 확인하십시오.

flags:all

auditd변경 사항을 적용하려면 다시 시작하세요 .

service auditd restart

지금까지 이것은 시스템 전반에 걸친 일이었습니다. 중재를 특정 사용자로 제한하려면 다음을 수행하세요 /etc/security/audit_user.

sambauser:fr,fw,cl,fa,fc,fd:no

이를 더욱 세부적으로 조정하고 성공 또는 실패 이벤트만 원하는지 여부를 지정할 수도 있습니다.

남자들을 기억해

FreeBSD에는 일반적으로 꽤 좋은 문서가 있다는 점을 명심하십시오. 이미 참조한 FreeBSD 매뉴얼 외에도 다음과 같은 훌륭한 도구가 있습니다 man.

man auditd
man audit_config
man praudit

매뉴얼 페이지는 최신 상태이며 가치 있고 쉽게 액세스할 수 있는 시스템 정보를 많이 포함하고 있습니다. 원하는 경우 브라우저를 이용해도 됩니다.온라인

Answer 1

설명16.3. 감사 구성실제로 매우 명확하고 요점이 있습니다. 당신은 당신이 시도하고 배운 것을 설명하지도 않고 질문을 합니다. 하지만 단계별로 안내해 보겠습니다. 일반적으로 말하면 다른 서비스와 마찬가지로 서비스를 시작하기만 하면 됩니다. 출력을 확인하십시오. 그런 다음 적절하게 변경합니다.

먼저 감사 하위 시스템을 시작하는 방법에 대한 섹션을 따르세요.

sysrc auditd_enable=YES

서비스를 시작합니다.

service auditd start

정말 쉽습니다! 이제 시스템에서 감사가 실행 중입니다. 이제 살펴 보겠습니다.16.3.2.1. audit_control 파일:

dir:/var/audit
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

dir및 을 기록해 두십시오 flags. 먼저 /var/audit지정된 디렉토리를 살펴보십시오 dir. auditd실행하면 2개의 새 파일이 표시됩니다. 날짜로 이름이 지정된 활동 로그 파일 .not_terminated과 이름이 current. 여기에 로그가 저장됩니다. 이 파일을 찾아보면 바이너리 형식이라는 것을 알 수 있습니다. 그럼 속임수를 쓰고 다음 장을 살펴보겠습니다.16.4. 감사 추적 사용. 이것은 우리가 praudit일반 텍스트를 얻는 데 사용한 것을 보여줍니다. 시스템에 다시 로그인하고 다음 명령을 사용하여 기록되는 방식을 확인합니다.

praudit /var/audit/current

다음과 같습니다.

header,56,11,audit startup,0,Thu May 23 16:18:46 2019, + 609 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,97,11,OpenSSH login,0,Thu May 23 16:21:03 2019, + 443 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,successful login clan
return,success,0
trailer,97
header,92,11,logout - local,0,Thu May 23 16:21:15 2019, + 90 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,sshd logout clan
return,success,0
trailer,92

먼저 auditd의 시작을 봅니다. 그러면 로그인된 모습을 볼 수 있습니다. 그런 다음 로그아웃하세요.

이제 리뷰 시스템을 사용할 수 있음을 확인했습니다. 그런 다음 귀하의 특정 요구 사항을 검토해 보겠습니다. 귀하는 다음을 요청합니다:

열기, 읽기, 이동, 삭제 또는 수정

그럼 테이블을 살펴볼까요?16.3.1.이벤트 선택 표현가장 관련성이 높은 항목을 찾으세요.

fr  file read   Audit events in which data is read or files are opened for reading.
fw  file write  Audit events in which data is written or files are written or modified.
cl  file close  Audit calls to the close system call.

아마도 당신은 다음에 관심이 있을 것입니다:

fa  file attribute access   Audit the access of object attributes such as stat(1) and pathconf(2).
fc  file create Audit events where a file is created as a result.
fd  file delete Audit events where file deletion occurs.

flags이 지식을 바탕으로 이제 다음을 설정할 수 있습니다 /etc/security/audit_control.

flags:fr,fw,cl,fa,fc,fd

또는 기본값을 유지하려는 경우:

flags:lo,aa,fr,fw,cl,fa,fc,fd

원하는 모든 것을 얻지 못했다고 생각되면 all필요한 이벤트 클래스를 확인하십시오.

flags:all

auditd변경 사항을 적용하려면 다시 시작하세요 .

service auditd restart

지금까지 이것은 시스템 전반에 걸친 일이었습니다. 중재를 특정 사용자로 제한하려면 다음을 수행하세요 /etc/security/audit_user.

sambauser:fr,fw,cl,fa,fc,fd:no

이를 더욱 세부적으로 조정하고 성공 또는 실패 이벤트만 원하는지 여부를 지정할 수도 있습니다.

남자들을 기억해

FreeBSD에는 일반적으로 꽤 좋은 문서가 있다는 점을 명심하십시오. 이미 참조한 FreeBSD 매뉴얼 외에도 다음과 같은 훌륭한 도구가 있습니다 man.

man auditd
man audit_config
man praudit

매뉴얼 페이지는 최신 상태이며 가치 있고 쉽게 액세스할 수 있는 시스템 정보를 많이 포함하고 있습니다. 원하는 경우 브라우저를 이용해도 됩니다.온라인

FreeBSD: 파일과 폴더가 열리거나, 읽거나, 이동되거나, 삭제되거나 수정될 때 감사를 사용하여 기록하는 방법은 무엇입니까?

답변1

남자들을 기억해

관련 정보