우리는 Auditd를 사용하여 Linux 시스템의 특정 변경 사항을 모니터링합니다. 대부분의 규칙은 CIS 기본 가이드에서 가져온 다음 특정 명령의 실행을 모니터링하기 위해 특별히 일부를 추가했습니다.
지금까지 우리는 다음과 같은 레코드 유형만 보았습니다.
PATH, SYSCALL, CWD, AVC, EXECVE, USER_CMD, USER_LOGIN, USER_AUTH
~에 따르면이것링크에는 모니터링에 중요한 몇 가지 흥미로운 유형이 있습니다. 우리 환경에는 중요해 보이는 것들이 거의 없습니다
KERNEL, ADD_USER, ADD_GROUP, MAC_STATUS, NETFILTER_CFG.
아래 언급된 규칙에 따라 이러한 이벤트가 모니터링되고 있지만 아직 트리거되지 않았는지 또는 현재 규칙 세트가 불완전한지 확인하는 데 도움을 줄 수 있는 사람이 있습니까?
-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time-change
-a always,exit -F arch=b64 -S clock_settime -k time-change
-w /etc/localtime -p wa -k time-change
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
-a always,exit -F arch=b64 -S sethostname -S setdomainname -k system-locale
-w /etc/issue -p wa -k system-locale
-w /etc/issue.net -p wa -k system-locale
-w /etc/hosts -p wa -k system-locale
-w /etc/sysconfig/network -p wa -k system-locale
-w /etc/selinux/ -p wa -k MAC-policy
-w /var/log/faillog -p wa -k logins
-w /var/log/lastlog -p wa -k logins
-w /var/log/tallylog -p wa -k logins
-w /var/log/btmp -p wa -k session
-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -F auid>=500 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b64 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=500 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid>=500 -F auid!=4294967295 -k access
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid>=500 -F auid!=4294967295 -k access
-a always,exit -F arch=b64 -S mount -F auid>=500 -F auid!=4294967295 -k mounts
-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete
-w /etc/sudoers -p wa -k scope
-w /var/log/sudo.log -p wa -k actions
-w /sbin/insmod -p x -k modules
-w /sbin/rmmod -p x -k modules
-w /sbin/modprobe -p x -k modules
-a always,exit -F arch=b64 -S init_module -S delete_module -k modules
-a always,exit -F path=/bin/su -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged
-a always,exit -F path=/bin/ping6 -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged
-a always,exit -F path=/sbin/unix_chkpwd -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged
-a always,exit -F path=/sbin/pam_timestamp_check -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged
-a always,exit -F path=/sbin/mount.nfs -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged
몇 가지 구체적인 규칙이 있습니다.
-a exit,always -F arch=b64 -S execve -F path=/bin/rm
-a exit,always -F arch=b64 -S execve -F path=/bin/chmod
-a exit,always -F arch=b64 -S execve -F path=/bin/chgrp
-a exit,always -F arch=b64 -S execve -F path=/bin/chown
현재 위의 규칙을 통해 얻은 데이터는 매우 유용하고 가치가 있습니다. 로깅을 추가로 감사하려면 어떻게 해야 합니까?