Auditd - Auditctl-Regel, um nur das Verzeichnis zu überwachen (nicht alle Unterverzeichnisse und Dateien usw.).

2682
superuseroi

Ich versuche, auditd zu verwenden, um Änderungen an einem Verzeichnis zu überwachen. Das Problem ist, dass beim Einrichten einer Regel das von mir angegebene Verzeichnis, aber auch alle Unterverzeichnisse und Dateien darunter überwacht werden, wodurch die Überwachung aufgrund der endlosen Ausführlichkeit unbrauchbar wird.

So lege ich die Regel fest:

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch

Wenn ich die Protokolle mit durchsuche

ausearch -k raven-pubhtmlwatch

Ich bekomme Tausende von Zeilen aus den Protokollen, in denen alles aufgelistet ist public_html.

Wie kann ich die Regel auf Änderungen nur für das angegebene Verzeichnis beschränken?

2
auch hier gefragt: http://stackoverflow.com/q/19031898/7552 glenn jackman vor 10 Jahren 1

2 Antworten auf die Frage

4
superuseroi

Dank geht an Steve @ redhat, der meine Frage auf der Mailingliste von linux-audit beantwortet hat :

Eine Uhr ist eigentlich eine versteckte Syscall-Regel. Wenn Sie ein Verzeichnis mit einer Überwachung versehen, wird es von auditctl in Folgendes umgewandelt:

-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

Das -FFeld dir ist rekursiv. Wenn Sie jedoch nur die Verzeichniseinträge überwachen möchten, können Sie dies in -FPfad ändern .

-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

Dies ist nicht rekursiv und überwacht nur den Inode, den das Verzeichnis belegt.

Ich musste die Regel manuell hinzufügen und /etc/audit/audit.rulesdann auditd mit neu starten

/etc/init.d/auditd restart

Jetzt werden die Regeln hinzugefügt und es funktioniert super!

1
Kurt

Ubuntu 12.04 scheint sich gegenüber Systemobjekten nicht genauso zu verhalten. Versuchen Sie, diese Überwachung auf / etc oder / usr / lib zu stellen (In einem anderen Beitrag scheint es Probleme zu geben, die versuchen, Verzeichnisse auf oberster Ebene zu überwachen). Dann erstellen Sie etwas in einem dieser Verzeichnisse und in audit.log wird nichts mit dem Schlüsselwort angezeigt. Dieser Punkt bezieht sich auf das Testen von PCI DSS 3.1 10.2.7.

Verwandte Probleme