저는 매우 일반적인 감사 규칙 세트를 사용하여 Debian 11 서버에서 auditd를 실행하고 있습니다. 감사 로그는 아래와 같은 항목으로 채워집니다. 그것이 무엇인지 잘 모르겠습니다. 누구든지 식별하는 데 도움을 줄 수 있습니까? ouid와 ogit이 모두 0이기 때문에 루트가 뭔가를 하는 것과 관련이 있다고 가정합니다. 이 올바른지? type=Path msg=audit(1712839234.13338212): item=2 name="/lib/ld-linux-x86-64.so.2" inode=157...
tcsh 환경에서는 명령 해싱이 기본적으로 비활성화되어 있는 것으로 보이며 전반적으로 활성화하는 것이 허용되지 않습니다. 대신, 모두 while 루프를 포함하는 개별 스크립트에서 명령 해싱을 활성화하여 첫 번째 반복에서 $PATH에 정의된 모든 경로를 반복할 수 있고 후속 반복에서 내부 스크립트의 정확한 경로에 도달할 수 있기를 원합니다. 해시 테이블. 목적은 감사 서비스에서 캡처한 실패한 execve 호출 수를 줄이는 것입니다. 첫 번째 질문은 내부 해시 테이블을 출력하기 위해 tcsh에 "hash...
Shebang 라인에 "-f" 플래그가 전달되는지 여부에 관계없이 tcsh는 $PATH를 반복하고 명령을 찾을 때까지 해당 경로에서 명령을 실행하려고 시도한다는 것을 알았습니다. 반면 bash는 먼저 해당 위치에 명령이 있는지 확인합니다. 이 tcsh 동작으로 인해 감사 로그에 실패한 항목이 많이 발생합니다. 감사가 execve 시스템 호출을 캡처하도록 구성되어 있기 때문입니다. 예를 들어, tcsh 스크립트에서 sleep을 호출할 때 실패한 감사 항목 중 하나는 절대 경로인 "/usr/local/b...
auditdSELinux는 (이름이 지정된) 프로세스 시작을 허용하지 않습니다 . 내가 찾은 거부에 대한 유일한 언급은 다음과 myplagin같습니다 . 하지만 정책에 추가해야 하는 새로운 규칙이 무엇인지 확인하려면 audit.log 스타일의 거부( )를 보고 싶습니다. ./var/log/audit/audit.log/var/log/messagesCentos8 auditd[3119]: Unable to stat /home/cust/myplagin (Permission denied)type=AVC msg...
운영체제는 데비안입니다. 시스템 재부팅이 무엇인지 확인하기 위해 auditd를 설정했습니다. 다음과 같은 규칙이 있습니다. -a exit,always -F arch=b64 -S execve -F path=/bin/systemctl -k debug_test create 규칙은 /usr/sbin/rebootSymlink이기 때문에 작동하지 않지만 /bin/systemctl이 규칙은 잘 작동하며 재시작 명령이 실행될 때마다 캡처합니다. 그런 다음 다음 명령을 사용하여 이러한 재시작을 검색할 수 있습니다 ...
특정 이벤트를 기록하도록 구성된 감사 규칙이 있는 RHEL 서버가 있습니다. 이 로그를 원격 syslog 서버로 전달하고 싶습니다. 이러한 특정 로그를 전달할 수 있는 방법을 찾을 수 없어서 원격 syslog 서버의 /var/log가 꽉 차는 경우가 많기 때문에 모든 감사 로그를 원격 서버로 전달하도록 구성했습니다. 이 문제를 해결하는 방법에는 두 가지가 있지만 어느 쪽에서도 기술적인 해결책을 찾을 수 없습니다. 해당 특정 규칙에 대한 이벤트를 별도의 로그 파일에 기록하거나 가능한 경우 원격 sys...
나는 ipv4 전달을 활성화하는 /proc/sys/net/ipv4/ip_forward 파일에 무엇이 있는지 확인하려고 했습니다. (그것이 docker라는 것을 알았지만 여전히 내 auditd 문제를 이해하고 싶었습니다.) 그래서 감사 규칙을 만들기로 결정했습니다. : -w /proc/sys/net/ipv4/ip_forward -p wa -k ip4forward 문제는 규칙을 수동으로 발행할 때만 규칙이 로드된다는 것입니다. augenrules --load 간단한 조치로 systemctl resta...
시스템을 다시 시작한 후 규칙을 로드하는 것만으로 LAS에서 auditd 시스템을 구성할 수 있습니까? 현재 상황으로는 서비스를 다시 시작해야 하는 상황인데 systemctl restart auditd, 다음 다시 시작할 때까지 무효화할 수 있는 방법이 있는지 궁금합니다. 웹을 둘러봤지만 현재 구성 파일에는 그러한 옵션이 없는 것 같습니다. 어떤 아이디어가 있습니까? ...
RHEL 8.8을 새로 설치하고 auditd특정 /etc/audit/rules.d/audit.rules파일을 실행하면 /var/log/audit/audit.log파일이 4GB보다 커지는 상황이 발생했습니다. 이는 시스템에 유일한 사용자 계정이 있고 로그인한 유일한 사람이며 cp -rp /data/* /backup/FWIW를 /data실행할 때 cp -rp폴더 /data에 50TB가 넘는 데이터가 포함되어 있기 때문입니다. /backup의 파일 시스템은 RHEL 7.9부터 시작하는 XFS_4.0 /d...
내 CentOS 8 시스템 사용자의 철자가 틀린 사용자 이름이 있어서 수정했다고 생각했는데 감사 로그에 사용자 이름이 잘못 표시된 것을 발견했습니다. 올바른 사용자 이름은 다음과 같습니다: 예시.사용자 잘못된 사용자 이름은 다음과 같습니다. 예시.사용자 내 AUID 값에 잘못된 사용자 이름이 표시됩니다. 이 문제를 해결하는 방법에 대한 조언을 주시면 감사하겠습니다. 건배 ...
사전 구축된 서버에서 계측 및 분석하고 읽은 모든 파일 목록을 얻을 수 있기를 원합니다. 또한 프로그램을 실행하거나, 라이브러리를 로드하거나, 응용 프로그램에서 읽기 위해 커널이 어떤 파일을 읽는지 확인하고 싶습니다. 나는 그것이 간단할 것이라고 생각했다. SELinux는 기본적으로 거부하고 허용 모드에서는 모든 것을 기록합니다. 따라서 규칙 없이 설치하고 허용 모드에서 실행하면 모든 것이 기록됩니다. 이 질문은 다음과 관련이 있습니다.Security SE에 관한 것입니다.왜냐면 나도 그 포스터와 비...
파일을 읽었는지, 언제 읽었는지 확인할 수 있는 도구나 명령이 있습니까? 마지막으로 수정된 것만 찾아보겠습니다. ...
Debian 12 및 rsyslog 8.2302(TLS 원격 syslog용)를 설치한 후 의류 로그(또는 모든 감사 로그)가 원격으로 전송되지 않는 것을 확인했습니다. 로컬 시스템을 확인한 후 Journald에는 모든 감사 및 의류 로그가 포함되어 있지만 rsyslog는 그 중 어떤 것도 선택하지 않습니다. 다른 모든 일반 로그는 rsyslog에서 볼 수 있습니다. ForwardToSyslog=yes주석을 제거했지만 아무런 /etc/systemd/journald.conf차이가 없는 것 같습니다. /e...
%EC%9D%B4%20%ED%8F%AC%ED%95%A8%EB%90%9C%20Linux%20%EA%B0%90%EC%82%AC%20%EB%A1%9C%EA%B7%B8%20Rhel%207.png)
저는 이런 상황에 처해본 적이 없어서 어디서부터 시작해야 할지 모르겠습니다. 내 시스템에 로그 파서를 설치하려고 하는데 어떤 이유로 모든 감사 로그의 필드 이름이 대문자로 표시되어 있습니다. 따라서 syscall=0 auid=0 대신 SYSCALL=0 AUID=0입니다. 이는 로그 정의가 대소문자를 구분하여 작성되기 때문에 심각한 문제를 야기합니다. 필드 이름에 별칭을 붙일 수 있지만 다른 모든 시스템은 소문자를 사용하는 반면 이 시스템에서는 이러한 필드를 대문자로 보고합니다. 이유가 있습니까? ...