web-dev-qa-db-ja.com

auditdログを変更できますか? (セキュリティ、シェル監視)

最近、auditdを設定し、TTYロギングを有効にして、ルート以外のシェルアクセスを誰かに許可し、彼らが何をしているかを監視できるようにしました。 (私が彼らにジェイルシェルアクセスを与えた価値があるので、彼らのアクセスを彼らのユーザーディレクトリだけに制限するcPanel機能。)

正しく設定し、テストするためにaureport --tty -iを実行してすべてのユーザーアクティビティを確認し、ausearch -ul _username_ | aureport --tty -iを実行して新しいアカウント(ここでは_username_、仮名)のアクティビティをフィルタリングしました。 。 _username_アカウントで、cdlsなどの簡単なコマンドを実行しました。また、これをcat /home/_username_/.bash_historyと比較しました。私は毎日ログインして更新を確認していましたが、前述の基本的なコマンドである_username_から同じアクティビティの記録が表示され続けたと確信しています。ログアウトするまでaureportにログインしていないことに混乱したのを覚えているので、このアクティビティを見たことは知っています。これが非ルートTTYロギングの制限であることを知るためにGoogleに問い合わせなければなりませんでした。ですから、それは間違いなく数日前のaureportにありました。

今日はもう一度確認しますが、今回は_username_の新しいアクティビティがあります。かなり無害に見えるコマンド。率直に言って、私はアカウントを持っている人がもっと活動することを期待していました。しかし、私にとって非常に戸惑うのは、_username_からの活動の以前の記録がないことです。私の元のテストコマンドは、aureportによって報告されなくなりました。

彼らがうまくいかず、どういうわけかルートアクセスを取得し、auditdから履歴を消去して、プロセス中のテストコマンドの履歴を誤って消去した可能性はありますか?他に説明はありますか?

1
Dan

私の以前のコメントを拡張するには:

悪用するのではなく、ログファイルが最大サイズに達するか、イベントがX時間以上前に発生し、最も古いエントリがシステムによって削除されただけだと思います。

ほとんどのシステムは、ログを無期限に保持しないデフォルトで構成されており、パッケージャーには通常、ログローテーションドロップインスクリプト(/etc/logrotate.d内)が含まれるか、サービスがそのようなものをサポートする場合、ログの年齢やサイズの制限が含まれますデーモン自体で。

監査対象は2番目の種類です。

現在の設定についてはauditd.confを、サポートされているすべてのオプションとデフォルトについてはman 5 auditd.confを確認してください。見つけたmax_log_filenum_logsの設定など。

質問のタイトルに答えるには:

Auditdログを変更できますか?

はい:管理者レベルのアクセス権をユーザーに与えると、通常、システム全体を変更できます。そのため、ログイベントを安全なリモートログサーバーに複製することがベストプラクティスです。

3
HBruijn