最近、auditdを設定し、TTYロギングを有効にして、ルート以外のシェルアクセスを誰かに許可し、彼らが何をしているかを監視できるようにしました。 (私が彼らにジェイルシェルアクセスを与えた価値があるので、彼らのアクセスを彼らのユーザーディレクトリだけに制限するcPanel機能。)
正しく設定し、テストするためにaureport --tty -i
を実行してすべてのユーザーアクティビティを確認し、ausearch -ul _username_ | aureport --tty -i
を実行して新しいアカウント(ここでは_username_
、仮名)のアクティビティをフィルタリングしました。 。 _username_
アカウントで、cd
やls
などの簡単なコマンドを実行しました。また、これをcat /home/_username_/.bash_history
と比較しました。私は毎日ログインして更新を確認していましたが、前述の基本的なコマンドである_username_
から同じアクティビティの記録が表示され続けたと確信しています。ログアウトするまでaureport
にログインしていないことに混乱したのを覚えているので、このアクティビティを見たことは知っています。これが非ルートTTYロギングの制限であることを知るためにGoogleに問い合わせなければなりませんでした。ですから、それは間違いなく数日前のaureport
にありました。
今日はもう一度確認しますが、今回は_username_
の新しいアクティビティがあります。かなり無害に見えるコマンド。率直に言って、私はアカウントを持っている人がもっと活動することを期待していました。しかし、私にとって非常に戸惑うのは、_username_
からの活動の以前の記録がないことです。私の元のテストコマンドは、aureport
によって報告されなくなりました。
彼らがうまくいかず、どういうわけかルートアクセスを取得し、auditd
から履歴を消去して、プロセス中のテストコマンドの履歴を誤って消去した可能性はありますか?他に説明はありますか?
私の以前のコメントを拡張するには:
悪用するのではなく、ログファイルが最大サイズに達するか、イベントがX時間以上前に発生し、最も古いエントリがシステムによって削除されただけだと思います。
ほとんどのシステムは、ログを無期限に保持しないデフォルトで構成されており、パッケージャーには通常、ログローテーションドロップインスクリプト(/etc/logrotate.d
内)が含まれるか、サービスがそのようなものをサポートする場合、ログの年齢やサイズの制限が含まれますデーモン自体で。
監査対象は2番目の種類です。
現在の設定についてはauditd.conf
を、サポートされているすべてのオプションとデフォルトについてはman 5 auditd.conf
を確認してください。見つけたmax_log_file
とnum_logs
の設定など。
質問のタイトルに答えるには:
Auditdログを変更できますか?
はい:管理者レベルのアクセス権をユーザーに与えると、通常、システム全体を変更できます。そのため、ログイベントを安全なリモートログサーバーに複製することがベストプラクティスです。