web-dev-qa-db-ja.com

NFSで発生したイベントをauditdで追跡できます

サーバーXから/ opt/WHATEVERと呼ばれるNFS共有をマウントする複数のサーバーがあります。

サーバーXは次のルールで監査を有効にします:Sudo/sbin/auditctl -w/opt/WHATEVER -p rwxa

そのフォルダーのサーバーXでイベントが発生すると、うまく機能します。ただし、他のマシンがアクセスしたり変更したりしても、何も報告されません。サーバーXと他のサーバーは同じパスを持っています。つまり、/ opt/WHATEVER

Auditdを有効にしてNFSからのイベントを追跡するにはどうすればよいですか?

7
Takadonet

再帰と同様に、auditdを理解するには、まずauditdを理解する必要があります。 Auditdは、システムコールを傍受/監視し、それらを報告するカーネルモジュールのフロントエンドです。つまり、-wオプションは、ターゲットでlsmd5sumなどを継続的に実行せず、ファイルアクセスの試行をレポートするようにカーネルモジュールに指示しますターゲットでのopen()やcreat()などの呼び出し。この情報を質問に戻すと、つまり、auditd できないは、この方法でリモートホストによって行われた変更を検出します。これらのシステムコールは、リモートシステムで発生しています。

希望する種類の監視を行うには、nfsマウントをローカルで監視するようにリモートホストでauditdを構成する必要があります。次に、audisp-remoteなどを使用して、auditdを実行しているすべてのホストを中央のログホストに記録します。その後、ログをより簡単に検索して関連付けることができます。

4
Scott Pack