("exec") 및 ("administrative") 감사 클래스를 다음에 추가 /etc/security/audit_control하여 이 작업을 수행 했습니다 .exadflags
flags:lo,aa,ex,ad
서비스를 활성화하고 시작했습니다.
service auditd enable
service auditd start
이제 을 실행했지만 praudit /dev/auditpipe다른 터미널에서 명령을 실행하면 아무 것도 인쇄되지 않습니다. 사용자 로그인 이벤트는 볼 수 있지만 명령은 볼 수 없습니다.
header,97,11,su(1),0,Sun Nov 6 18:48:54 2022, + 32 msec
subject,-1,root,wheel,root,wheel,77911,77911,0,0.0.0.0
text,successful authentication
return,success,0
trailer,97
내가 무엇을 놓치고 있나요?
# cat /etc/security/audit_control
#
# $FreeBSD$
#
dir:/var/audit
dist:off
flags:lo,aa,ex,ad
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M
답변1
/etc/security/audit_control감사 서비스를 변경 하고 시작한 후( audit -s또는 서비스가 이미 실행 중인 경우 루트로 실행) 사용자가 로그인할 때 새 설정이 적용됩니다. 로그인한 사용자는 변경된 구성으로 감사되지 않습니다. 이것은audit_user(5)수동:
이
audit_user파일은 특정 사용자에 대해 감사할 감사 이벤트 클래스를 지정합니다. 지정된 경우 이러한 플래그는 파일의 시스템 전체 감사 플래그와 결합되어audit_control(5)이 사용자에 대해 감사되는 이벤트 범주를 결정합니다. 이러한 설정은 사용자가 로그인할 때 적용됩니다.
("이 설정"은 파일뿐만 아니라 두 파일의 설정을 나타냅니다 audit_user.)
ex이전과 마찬가지로 구성에 ad및 플래그를 추가하고 루트로 실행하고(이미 감사가 활성화되어 있으므로) 다른 줄에 로그인하고 를 입력하면 명령으로 생성된 감사 로그에 다음이 표시됩니다 .audit_controlaudit -slsls
header,119,11,execve(2),0,Tue Nov 8 07:00:53 2022, + 503 msec
exec arg,ls,-F
path,/bin/ls
attribute,555,root,wheel,1425188585,14654,629136184
subject,myself,myself,myself,myself,myself,21223,21212,57410,192.168.1.107
return,success,0
trailer,119
header,148,11,execve(2),0,Tue Nov 8 07:00:53 2022, + 510 msec
exec arg,git,rev-parse,--git-dir
path,/usr/local/bin/git
attribute,755,root,wheel,1425188585,279022,407440184
subject,myself,myself,myself,myself,myself,21224,21212,57410,192.168.1.107
return,success,0
trailer,148
대화형 셸의 프롬프트 결과로 show 명령의 두 번째 항목에 ls별칭을 지정 했음을 알 수 있습니다 .ls -Fgit