Auditd не захватывает событие удаления каталога - PullRequest
Новая
       9

Auditd не захватывает событие удаления каталога

0 голосов
/ 11 февраля 2019

Я дал следующие правила в конфигурации audd.

  audit_rules: |
    -w /etc/group -p wa -k identity
    -w /etc/passwd -p wa -k identity
    -w /etc/gshadow -p wa -k identity
    -w /etc/shadow -p wa -k identity
    -w /etc/security/opasswd -p wa -k identity
    -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EACCES -k access
    -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -k access
    -a always,exit -F dir=/home -F uid=0 -F auid>=1000 -F auid!=4294967295 -C auid!=obj_uid -F key=power-abuse
    -a always,exit -F arch=b64 -S setuid -F a0=0 -F exe=/usr/bin/su -F key=elevated-privs
    -a always,exit -F arch=b32 -S setuid -F a0=0 -F exe=/usr/bin/su -F key=elevated-privs
    -a always,exit -F arch=b64 -S setresuid -F a0=0 -F exe=/usr/bin/sudo -F key=elevated-privs
    -a always,exit -F arch=b32 -S setresuid -F a0=0 -F exe=/usr/bin/sudo -F key=elevated-privs
    -a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=0 -F key=elevated-privs
    -a always,exit -F arch=b32 -S execve -C uid!=euid -F euid=0 -F key=elevated-privs

Пока это успешно захватывает удаление файла, это не захватывает удаление, переименование или изменение папки.Почему это так?.Нужно ли менять правила мониторинга папок?

1 Ответ

0 голосов
/ 11 февраля 2019

Из ваших правил я вижу, что вы смотрите каталог / home 

-a always,exit -F dir=/home -F uid=0 -F auid>=1000 -F auid!=4294967295 -C auid!=obj_uid -F key=power-abuse

Поле -F dir устанавливает правило, которое просматривает все файлы в каталоге.Вместо этого вы хотите использовать -F путь к полю. 

-a always,exit -F path=/home -F uid=0 -F auid>=1000 -F auid!=4294967295 -C auid!=obj_uid -F key=power-abuse

поле пути просматривает только тот индекс, который занимает каталог.

Согласно http://man7.org/linux/man-pages/man7/audit.rules.7.html, оно гласит «ИспользованиеПравила системного вызова, которые вы можете выбирать между path и dir, которые соответствуют конкретному inode или дереву каталогов соответственно. "

...