web-dev-qa-db-ja.com

auditdはchmodをまったくログに記録しません

ホーム/ユーザー名ディレクトリのアクセス許可への変更をログに記録したいという考えで、次を実行します。

auditctl -w/home/username -p a

次に、以下を実行します。

tail -f /var/log/audit/audit.log

そして私は変化を見ます。別のターミナルを開いてsshinすると、audit.logにsshが表示されます。 sudoerに切り替えます。audit.logに表示されます。別のターミナルウィンドウを閉じると、audit.logに表示されます。

ただし、/ home/usernameに対してanythingを実行すると、何も表示されません。絶対パスと相対パスを使用してディレクトリをchmodしましたが、何も起こりません。/home/usernameの新しいファイルに触れても、何も起こりません。そのファイルをchmodしましたが、何も起こりません。

私は次の場所ですべてを試しました: ディレクトリ権限の変更を監視またはログに記録しますか? および https://unix.stackexchange.com/questions/196840/how-to-investigate-what- is-modifying-a-directories-permission-on-linux および https://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to -a-file.html さらには https://access.redhat.com/solutions/10107

そして、まったく何も機能していないようです。 ausearchは何も明らかにせず、aureportはデータを示しません。上記の各参考文献に記載されているテーマの各バリエーションを使用しましたが、何も機能しません。

奇妙なことに、これはubuntuで簡単に実行できますが(正常に動作します)、rhelベースのインスタンス(AWS Amazon Linux)では実行できません。

私は途方に暮れています、誰かが私の方法でいくつかのアドバイスを渡すことができますか?私はおそらく明らかな何かを見逃しています。

1
Sarge

そして恥ずかしいことに、今朝答えを見つけようとして何時間も費やした後、私はこれを投稿してから数分後に答えを見つけました。

Amazon Linuxインスタンスの/etc/audit/audit.rulesファイルには、監査を有効にするために削除/コメントアウトが必要な行があります。:-a never、task

したがって、その行をコメントアウトしないと、auditctl -lにルールが表示されていても、ログに記録されません。同じ行が/etc/audit/rules.d/audit.rules.defaultにあります

恥ずかしそうに頭を下げます

他のAWSユーザーが同じ問題を経験する場合に備えて、これはここに残しておきます。

1
Sarge