fragen stichworte

Verfolgen Sie alle Dateiänderungen mit auditd

Ich versuche, PCI REQ 10.5.5 zu konfigurieren Msgstr "Dateiintegritätsüberwachung verwenden oder Erkennungssoftware für Protokolle ändern"

Verwenden Sie dazu auditd, Die Regel "auditctl -w/tmp/testfile -p war" funktioniert einwandfrei.

Aber wenn ich versuche, stdout redirect für Dateien wie "echo" hi ">>/tmp/testfile" zu verwenden Zeile wird angehängt, aber in audit.log werden keine Änderungen vorgenommen.

Weiß jemand, wie alle Änderungen in der Datei mithilfe von auditd protokolliert werden?

antworten

auditd fängt die Änderung an der Datei ab, wird jedoch als bash protokolliert, um einen Syscall zu machen, leider ohne identifizierbaren Pfad zu der Datei, die geändert wurde.

Als Problemumgehung füge ich für jede Regel zum Überwachen einer Datei die Datei in den Schlüsselnamen ein. Zum Beispiel:

-w/etc/login.txt -p wa -k login.txt-modified

Auf diese Weise werden mit echo > login.txt ausgelöste Protokolleinträge leicht gefunden. Es gibt einen offenen Fehler bei Red Hat:

https://bugzilla.redhat.com/show_bug.cgi?id=1204937

Ich habe es gerade auf Centos 6.3 versucht und das gleiche Ergebnis erzielt. Das Lesen der Datei hat auditedd ausgelöst, aber das append mit echo tat dies nicht.

Einschließlich x scheint zu funktionieren. Ändere -p war zu -p warx und schau, ob das für dich auf Ubuntu funktioniert.

Ich würde auditd dafür nicht verwenden. Für meine PCI- und HIPAA-konformen Systeme habe ich auditd verwendet, um Änderungen an kritischen Systemdateien und -funktionen zu protokollieren, nutze jedoch entweder AIDE oder Tripwire für die eigentliche Dateiintegritätsüberwachung und Berichterstellung .