2 votes

superuseroi avatar

Auditd - règle auditctl pour surveiller uniquement le répertoire (pas tous les sous-répertoires et fichiers, etc.)

Demandé el 26 de Septembre, 2013
Quand la question a-t-elle été
3324 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je essaie d'utiliser auditd pour surveiller les modifications d'un répertoire. Le problème est que lorsque je configure une règle, il surveille le répertoire que j'ai spécifié, mais aussi tous les sous-répertoires et fichiers en dessous, rendant la surveillance inutile en raison d'une verbosité infinie.

Voici comment je configure la règle :

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch

Lorsque je recherche les journaux en utilisant

ausearch -k raven-pubhtmlwatch

Je reçois des milliers de lignes des journaux qui listent tout sous public_html.

Comment puis-je limiter la règle aux modifications sur le répertoire spécifié seulement ?

Demandé el 26 de Septembre, 2013 par superuseroi

Réponses

Trop de publicités?

5voto

superuseroi avatar
superuseroi Points 261

Le crédit revient à Steve @ redhat qui a répondu à ma question sur la liste de diffusion linux-audit :

Une montre est en réalité une règle de syscall déguisée. Si vous placez une montre sur un répertoire, auditctl le transformera en :

-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

Le champ -F dir est récursif. Cependant, si vous voulez juste surveiller les entrées du répertoire, vous pouvez changer cela en -F path.

-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

Ceci n'est pas récursif et surveille seulement l'inode que le répertoire occupe.

J'ai dû ajouter la règle manuellement dans /etc/audit/audit.rules puis redémarrer auditd avec

/etc/init.d/auditd restart

Maintenant les règles sont ajoutées et tout fonctionne parfaitement !

Répondu el 27 de Septembre, 2013 par superuseroi (261 Points )

1voto

Kurt avatar
Kurt Points 11

Ubuntu 12.04 ne semble pas se comporter de la même manière par rapport aux objets système. Essayez de mettre cette surveillance sur /etc ou /usr/lib (Dans un autre article, il semble y avoir des problèmes en essayant de surveiller les répertoires de premier niveau). Ensuite, créez quelque chose dans l'un de ces répertoires et rien n'apparaît dans audit.log avec le mot clé. Ces éléments concernent les tests de la norme PCI DSS 3.1 10.2.7.

Répondu el 2 de Octobre, 2015 par Kurt (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X