7 votes

2rs2ts avatar

Qu'est-ce qu'auditd enregistre par défaut (c'est-à-dire lorsqu'aucune règle n'est définie) ?

Demandé el 4 de Mai, 2016
Quand la question a-t-elle été
5407 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai installé auditd y audispd-plugins sur ma machine Debian Jessie et n'a pas touché à la configuration. Je vois que des événements sont écrits dans /var/log/audit/audit.log par exemple :

type=LOGIN msg=audit(1462384141.770:838): pid=3662 uid=0 old-auid=4294967295 auid=0 old-ses=4294967295 ses=21 res=1
type=USER_START msg=audit(1462384141.770:839): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1462384141.778:840): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1462384141.778:841): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_ACCT msg=audit(1462384201.780:842): pid=3761 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_ACQ msg=audit(1462384201.780:843): pid=3761 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=LOGIN msg=audit(1462384201.780:844): pid=3761 uid=0 old-auid=4294967295 auid=0 old-ses=4294967295 ses=22 res=1
type=USER_START msg=audit(1462384201.780:845): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1462384201.796:846): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1462384201.800:847): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'

Mais je ne suis pas sûr de la raison pour laquelle je vois quelque chose dans le journal en premier lieu, car je n'ai pas de règles définies :

$ auditctl -l
No rules

Je ne peux pas trouver de règles dans /etc/audit/audit.rules o /etc/audit/rules.d sauf pour les valeurs par défaut :

-D
-b 320

Il est évident que je rate quelque chose. Qu'est-ce qui est enregistré par défaut ?

Demandé el 4 de Mai, 2016 par 2rs2ts

Réponses

Trop de publicités?

8voto

BurnA avatar
BurnA Points 401

Ces événements proviennent d'autres capacités (pam, openssh, etc) qui envoient des événements d'audit au service d'audit. Si vous ne voulez pas d'événements, ajoutez audit=0 aux arguments de la ligne de commande du noyau.

Si vous voulez savoir quelle capacité peut vouloir utiliser le service d'audit, essayez quelque chose comme

[burn@fc24 ~]$ rpm -q --whatrequires audit-libs
libsemanage-2.5-2.fc24.x86_64
shadow-utils-4.2.1-8.fc24.x86_64
pam-1.2.1-5.fc24.x86_64
util-linux-2.28-3.fc24.x86_64
openssh-7.2p2-9.fc24.x86_64
passwd-0.79-8.fc24.x86_64
gdm-3.20.1-3.fc24.x86_64
pam-1.2.1-5.fc24.i686
[burn@fc24 ~]$
Répondu el 8 de Juillet, 2016 par BurnA (401 Points )

4voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Par défaut, auditd consigne les commandes liées à la sécurité. Ce n'est pas quelque chose que l'on peut voir dans les fichiers de configuration, cela se produit par défaut lorsqu'auditd est lancé. Vous pouvez obtenir un résumé des commandes qui ont été enregistrées sur votre système récemment en utilisant :

sudo aureport -x --summary

Je n'ai pas réussi à trouver une liste de toutes les commandes qui sont enregistrées par défaut. Mon système CentOS 7 enregistre les commandes suivantes par défaut (liste non exhaustive, juste ce qui est affiché dans les journaux) :

/usr/sbin/crond
/usr/libexec/dovecot/auth
/usr/sbin/sshd
/usr/bin/sudo
/usr/sbin/xtables-multi
/usr/lib/systemd/systemd
/usr/bin/passwd

Il enregistre également les connexions, les déconnexions et les messages liés à SELinux.

Deux articles qui ont été utilisés comme référence :

Répondu el 29 de Novembre, 2016 par Utilisateur non enregistré (0 Points )

0 votes

Avatar de Shadur

Est-il possible de supprimer certains d'entre eux ? Je suis en train de suivre un problème réel, mais un plugin de surveillance à distance utilise une connexion ssh toutes les quelques minutes qui encombre les journaux de façon féroce.

Commenté el 5 de Avril, 2017 par Shadur

0 votes

Avatar de Utilisateur non enregistré

La meilleure chose à faire est probablement de regarder le plugin de surveillance à distance, voir si vous pouvez l'empêcher d'enregistrer. Ou filtrer les logs pour n'obtenir que ce que vous voulez.

Commenté el 5 de Avril, 2017 par Utilisateur non enregistré

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X