2 votes

superuseroi avatar

Auditd - règle auditctl pour surveiller uniquement le répertoire (pas tous les sous-répertoires et fichiers, etc.)

Demandé el 26 de Septembre, 2013
Quand la question a-t-elle été
3319 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis en train d'essayer d'utiliser auditd pour surveiller les modifications apportées à un répertoire. Le problème est que lorsque je configure une règle, elle surveille le répertoire que j'ai spécifié, mais aussi tous les sous-répertoires et fichiers en dessous, rendant la surveillance inutile en raison d'une verbosité infinie.

Voici comment je configure la règle :

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch

Lorsque je recherche les journaux en utilisant

ausearch -k raven-pubhtmlwatch

Je reçois des milliers de lignes des journaux qui listent tout ce qui se trouve sous public_html.

Comment puis-je limiter la règle aux modifications apportées uniquement sur le répertoire spécifié ?

Demandé el 26 de Septembre, 2013 par superuseroi

Réponses

Trop de publicités?

5voto

superuseroi avatar
superuseroi Points 261

Le crédit revient à Steve @ redhat qui a répondu à ma question sur la liste de diffusion linux-audit:

Une veille ("watch") est en fait une règle syscall déguisée. Si vous placez une veille sur un répertoire, auditctl la transformera en :

-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

Le champ -F dir est récursif. Cependant, si vous voulez simplement surveiller les entrées du répertoire, vous pouvez le changer en -F path.

-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

Ceci n'est pas récursif et surveille simplement l'inode que le répertoire occupe.

J'ai dû ajouter la règle manuellement dans /etc/audit/audit.rules puis redémarrer auditd avec

/etc/init.d/auditd restart

maintenant les règles sont ajoutées et tout fonctionne parfaitement!

Répondu el 27 de Septembre, 2013 par superuseroi (261 Points )

1voto

Kurt avatar
Kurt Points 11

Ubuntu 12.04 ne semble pas se comporter de la même manière par rapport aux objets système. Essayez de mettre cette montre sur /etc ou /usr/lib (dans un autre message, il semble y avoir des problèmes en essayant de surveiller les répertoires de niveau supérieur). Ensuite, créez quelque chose dans l'un de ces répertoires et rien n'apparaît dans audit.log avec le mot-clé. Ces éléments se rapportent au test de la norme PCI DSS 3.1 10.2.7.

Répondu el 2 de Octobre, 2015 par Kurt (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X