운영체제는 데비안입니다. 시스템 재부팅이 무엇인지 확인하기 위해 auditd를 설정했습니다. 다음과 같은 규칙이 있습니다. -a exit,always -F arch=b64 -S execve -F path=/bin/systemctl -k debug_test create 규칙은 /usr/sbin/rebootSymlink이기 때문에 작동하지 않지만 /bin/systemctl이 규칙은 잘 작동하며 재시작 명령이 실행될 때마다 캡처합니다. 그런 다음 다음 명령을 사용하여 이러한 재시작을 검색할 수 있습니다 ...
특정 이벤트를 기록하도록 구성된 감사 규칙이 있는 RHEL 서버가 있습니다. 이 로그를 원격 syslog 서버로 전달하고 싶습니다. 이러한 특정 로그를 전달할 수 있는 방법을 찾을 수 없어서 원격 syslog 서버의 /var/log가 꽉 차는 경우가 많기 때문에 모든 감사 로그를 원격 서버로 전달하도록 구성했습니다. 이 문제를 해결하는 방법에는 두 가지가 있지만 어느 쪽에서도 기술적인 해결책을 찾을 수 없습니다. 해당 특정 규칙에 대한 이벤트를 별도의 로그 파일에 기록하거나 가능한 경우 원격 sys...
나는 ipv4 전달을 활성화하는 /proc/sys/net/ipv4/ip_forward 파일에 무엇이 있는지 확인하려고 했습니다. (그것이 docker라는 것을 알았지만 여전히 내 auditd 문제를 이해하고 싶었습니다.) 그래서 감사 규칙을 만들기로 결정했습니다. : -w /proc/sys/net/ipv4/ip_forward -p wa -k ip4forward 문제는 규칙을 수동으로 발행할 때만 규칙이 로드된다는 것입니다. augenrules --load 간단한 조치로 systemctl resta...
시스템을 다시 시작한 후 규칙을 로드하는 것만으로 LAS에서 auditd 시스템을 구성할 수 있습니까? 현재 상황으로는 서비스를 다시 시작해야 하는 상황인데 systemctl restart auditd, 다음 다시 시작할 때까지 무효화할 수 있는 방법이 있는지 궁금합니다. 웹을 둘러봤지만 현재 구성 파일에는 그러한 옵션이 없는 것 같습니다. 어떤 아이디어가 있습니까? ...
RHEL 8.8을 새로 설치하고 auditd특정 /etc/audit/rules.d/audit.rules파일을 실행하면 /var/log/audit/audit.log파일이 4GB보다 커지는 상황이 발생했습니다. 이는 시스템에 유일한 사용자 계정이 있고 로그인한 유일한 사람이며 cp -rp /data/* /backup/FWIW를 /data실행할 때 cp -rp폴더 /data에 50TB가 넘는 데이터가 포함되어 있기 때문입니다. /backup의 파일 시스템은 RHEL 7.9부터 시작하는 XFS_4.0 /d...
내 CentOS 8 시스템 사용자의 철자가 틀린 사용자 이름이 있어서 수정했다고 생각했는데 감사 로그에 사용자 이름이 잘못 표시된 것을 발견했습니다. 올바른 사용자 이름은 다음과 같습니다: 예시.사용자 잘못된 사용자 이름은 다음과 같습니다. 예시.사용자 내 AUID 값에 잘못된 사용자 이름이 표시됩니다. 이 문제를 해결하는 방법에 대한 조언을 주시면 감사하겠습니다. 건배 ...
사전 구축된 서버에서 계측 및 분석하고 읽은 모든 파일 목록을 얻을 수 있기를 원합니다. 또한 프로그램을 실행하거나, 라이브러리를 로드하거나, 응용 프로그램에서 읽기 위해 커널이 어떤 파일을 읽는지 확인하고 싶습니다. 나는 그것이 간단할 것이라고 생각했다. SELinux는 기본적으로 거부하고 허용 모드에서는 모든 것을 기록합니다. 따라서 규칙 없이 설치하고 허용 모드에서 실행하면 모든 것이 기록됩니다. 이 질문은 다음과 관련이 있습니다.Security SE에 관한 것입니다.왜냐면 나도 그 포스터와 비...
파일을 읽었는지, 언제 읽었는지 확인할 수 있는 도구나 명령이 있습니까? 마지막으로 수정된 것만 찾아보겠습니다. ...
Debian 12 및 rsyslog 8.2302(TLS 원격 syslog용)를 설치한 후 의류 로그(또는 모든 감사 로그)가 원격으로 전송되지 않는 것을 확인했습니다. 로컬 시스템을 확인한 후 Journald에는 모든 감사 및 의류 로그가 포함되어 있지만 rsyslog는 그 중 어떤 것도 선택하지 않습니다. 다른 모든 일반 로그는 rsyslog에서 볼 수 있습니다. ForwardToSyslog=yes주석을 제거했지만 아무런 /etc/systemd/journald.conf차이가 없는 것 같습니다. /e...
%EC%9D%B4%20%ED%8F%AC%ED%95%A8%EB%90%9C%20Linux%20%EA%B0%90%EC%82%AC%20%EB%A1%9C%EA%B7%B8%20Rhel%207.png)
저는 이런 상황에 처해본 적이 없어서 어디서부터 시작해야 할지 모르겠습니다. 내 시스템에 로그 파서를 설치하려고 하는데 어떤 이유로 모든 감사 로그의 필드 이름이 대문자로 표시되어 있습니다. 따라서 syscall=0 auid=0 대신 SYSCALL=0 AUID=0입니다. 이는 로그 정의가 대소문자를 구분하여 작성되기 때문에 심각한 문제를 야기합니다. 필드 이름에 별칭을 붙일 수 있지만 다른 모든 시스템은 소문자를 사용하는 반면 이 시스템에서는 이러한 필드를 대문자로 보고합니다. 이유가 있습니까? ...
감사를 통해 누가 rootfs 장치를 작성했는지 알고 싶습니다. auditctl -w /var/lib -p w 로그가 있어요 type=SYSCALL msg=audit(1687705400.741:250): arch=c000003e syscall=257 success=yes exit=4 a0=ffffff9c a1=7ffe429aec10 a2=a0002 a3=0 items=1 ppid=15931 pid=13750 auid=4294967295 uid=999 gid=999 euid=999 suid=999 f...
auditd에서 다음과 같은 로그 메시지가 있습니다. 그들은 소켓에 대한 호출을 기록하는 것 같습니다. type=SYSCALL msg=audit(05/11/2023 23:19:52.913:2533) : arch=x86_64 syscall=socket success=yes exit=9 a0=inet a1=SOCK_DGRAM a2=ip a3=0x7f1b009852d0 items=0 ppid=1484 pid=13953 auid=gwill uid=gwill gid=gwill euid=gwill sui...
..png)
감사를 사용하여 파일에 대한 액세스를 모니터링하고 싶기 때문에 다음 규칙을 추가했습니다. -w /home/test.txt -k monitoring-test 규칙( sudo service auditd restart)을 다시 로드하고 파일을 수정했지만 /home/test.txt로그에는 해당 키를 사용하는 이벤트가 생성되지 않습니다. sudo ausearch -k monitoring-test추가된 규칙에 대한 이벤트만 반환됩니다. time->Fri May 5 13:32:19 2023 type=CO...
파일 읽기, 쓰기, 폴더 생성 등 USB 활동에 대한 스크립트 모니터링을 수행하고 있습니다. USB 장치가 연결되면 코드 베이스는 자동으로 마운트 지점을 다음 위치에 설정하고, USB가 제거되면 이 마운트 지점을 삭제합니다./media/usb/mounted_usb_name auditd다음 규칙을 사용하여 시청 하도록 구성했습니다 ./media/usb -w /media/usb -p r -k USB_r -w /media/usb -p w -k USB_w -w /media/usb -p a -k USB_a -...