auditd
파일 및 폴더를 열고, 읽고, 이동하고, 삭제하거나 수정할 때 로깅을 어떻게 사용합니까? 데이터 확인여기, 작업을 완료하는 방법을 모르겠습니다.
FreeBSD 시스템에서 폴더 및 파일 액세스/수정 로그를 얻으려고 합니다. 파일 액세스는 Samba 공유를 통해 이루어지며 SMB를 통해 로그인하지만 드물게 SMB가 이벤트를 기록하지 않는 경우도 있습니다(예: 오늘 폴더를 이동할 때 기록되지 않았지만 나중에 폴더를 이동하여 기록했습니다). 그래서 좀 더 정확한 대안을 찾고 있습니다.
고쳐 쓰다auditd
FreeNAS 11 FreeBSD 시스템에서 작동하지 않는 사항은 다음과 같습니다.
커널이 컴파일된 옵션을 확인하십시오(AUDIT를 찾으십시오):
sysctl kern.conftxt | grep AUDIT
> options AUDIT
내 거/etc/security/audit_control
#
# $FreeBSD$
#
dir:/var/audit
dist:off
flags:lo,aa,fr,fw,cl,fa,fc,fd
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M
내 거 /etc/security/audit_user
:
#
# $FreeBSD$
#
testuser:lo,aa,fr,fw,cl,fa,fc,fd:no
root:lo:no
service auditd restart && service auditd status
결과:
Trigger sent.
Starting auditd.
auditd is running as pid 45763.
man audit_user
페이지 기반
플래그 필드는 속성 이벤트에 대해 시스템 전체에서 미리 선택된 기본 마스크를 설정합니다. 위의 예에서는 모든 사용자 성공 및 실패 로그인/로그아웃 이벤트는 물론 인증 및 권한 부여도 감사됩니다.
적어도 testuser 및 root에 대한 로그인/로그아웃 로그를 얻어야 합니다. 때문에:
사용자별 및 전역 감사 사전 선택 구성은 로그인 시 평가되므로 사전 선택 관련 감사 변경 사항을 적용하려면 사용자가 로그아웃했다가 다시 로그인해야 합니다.
그런 다음 ssh를 통해 로그아웃하고 testuser로 다시 로그인하고 일부 디렉터리와 파일을 만든 다음 삭제했습니다. SMB 공유를 통해 동일한 작업을 수행하고 루트로 로그인하여 추적을 확인했습니다.
praudit /var/audit/current
결과:
header,56,11,audit startup,0,Fri May 24 09:50:23 2019, + 398 msec
text,auditd::Audit startup
return,success,0
trailer,56
다음 명령을 사용하여 사용 가능한 모든 경로를 확인하십시오 praudit /var/audit/*
.
header,56,11,audit startup,0,Wed May 22 14:41:33 2019, + 781 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,56,11,audit startup,0,Thu May 23 18:44:10 2019, + 766 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,56,11,audit startup,0,Thu May 23 18:54:51 2019, + 31 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,56,11,audit startup,0,Thu May 23 18:55:04 2019, + 451 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,56,11,audit startup,0,Thu May 23 18:55:04 2019, + 451 msec
text,auditd::Audit startup
return,success,0
trailer,56
로그가 표시되지 않습니다.
답변1
설명16.3. 감사 구성실제로 매우 명확하고 요점이 있습니다. 당신은 당신이 시도하고 배운 것을 설명하지도 않고 질문을 합니다. 하지만 단계별로 안내해 보겠습니다. 일반적으로 말하면 다른 서비스와 마찬가지로 서비스를 시작하기만 하면 됩니다. 출력을 확인하십시오. 그런 다음 적절하게 변경합니다.
먼저 감사 하위 시스템을 시작하는 방법에 대한 섹션을 따르세요.
sysrc auditd_enable=YES
서비스를 시작합니다.
service auditd start
정말 쉽습니다! 이제 시스템에서 감사가 실행 중입니다. 이제 살펴 보겠습니다.16.3.2.1. audit_control 파일:
dir:/var/audit
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M
dir
및 을 기록해 두십시오 flags
. 먼저 /var/audit
지정된 디렉토리를 살펴보십시오 dir
. auditd
실행하면 2개의 새 파일이 표시됩니다. 날짜로 이름이 지정된 활동 로그 파일 .not_terminated
과 이름이 current
. 여기에 로그가 저장됩니다. 이 파일을 찾아보면 바이너리 형식이라는 것을 알 수 있습니다. 그럼 속임수를 쓰고 다음 장을 살펴보겠습니다.16.4. 감사 추적 사용. 이것은 우리가 praudit
일반 텍스트를 얻는 데 사용한 것을 보여줍니다. 시스템에 다시 로그인하고 다음 명령을 사용하여 기록되는 방식을 확인합니다.
praudit /var/audit/current
다음과 같습니다.
header,56,11,audit startup,0,Thu May 23 16:18:46 2019, + 609 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,97,11,OpenSSH login,0,Thu May 23 16:21:03 2019, + 443 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,successful login clan
return,success,0
trailer,97
header,92,11,logout - local,0,Thu May 23 16:21:15 2019, + 90 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,sshd logout clan
return,success,0
trailer,92
먼저 auditd의 시작을 봅니다. 그러면 로그인된 모습을 볼 수 있습니다. 그런 다음 로그아웃하세요.
이제 리뷰 시스템을 사용할 수 있음을 확인했습니다. 그런 다음 귀하의 특정 요구 사항을 검토해 보겠습니다. 귀하는 다음을 요청합니다:
열기, 읽기, 이동, 삭제 또는 수정
그럼 테이블을 살펴볼까요?16.3.1.이벤트 선택 표현가장 관련성이 높은 항목을 찾으세요.
fr file read Audit events in which data is read or files are opened for reading.
fw file write Audit events in which data is written or files are written or modified.
cl file close Audit calls to the close system call.
아마도 당신은 다음에 관심이 있을 것입니다:
fa file attribute access Audit the access of object attributes such as stat(1) and pathconf(2).
fc file create Audit events where a file is created as a result.
fd file delete Audit events where file deletion occurs.
flags
이 지식을 바탕으로 이제 다음을 설정할 수 있습니다 /etc/security/audit_control
.
flags:fr,fw,cl,fa,fc,fd
또는 기본값을 유지하려는 경우:
flags:lo,aa,fr,fw,cl,fa,fc,fd
원하는 모든 것을 얻지 못했다고 생각되면 all
필요한 이벤트 클래스를 확인하십시오.
flags:all
auditd
변경 사항을 적용하려면 다시 시작하세요 .
service auditd restart
지금까지 이것은 시스템 전반에 걸친 일이었습니다. 중재를 특정 사용자로 제한하려면 다음을 수행하세요 /etc/security/audit_user
.
sambauser:fr,fw,cl,fa,fc,fd:no
이를 더욱 세부적으로 조정하고 성공 또는 실패 이벤트만 원하는지 여부를 지정할 수도 있습니다.
남자들을 기억해
FreeBSD에는 일반적으로 꽤 좋은 문서가 있다는 점을 명심하십시오. 이미 참조한 FreeBSD 매뉴얼 외에도 다음과 같은 훌륭한 도구가 있습니다 man
.
man auditd
man audit_config
man praudit
매뉴얼 페이지는 최신 상태이며 가치 있고 쉽게 액세스할 수 있는 시스템 정보를 많이 포함하고 있습니다. 원하는 경우 브라우저를 이용해도 됩니다.온라인