web-dev-qa-db-ja.com

デフォルトでauditdは何をログに記録しますか(ルールが定義されていない場合など)

私は自分のDebian Jessieマシンにauditdaudispd-pluginsをインストールしましたが、どの設定にも触れませんでした。イベントが/var/log/audit/audit.logに書き込まれるのを確認します。次に例を示します。

type=LOGIN msg=audit(1462384141.770:838): pid=3662 uid=0 old-auid=4294967295 auid=0 old-ses=4294967295 ses=21 res=1
type=USER_START msg=audit(1462384141.770:839): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1462384141.778:840): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1462384141.778:841): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_ACCT msg=audit(1462384201.780:842): pid=3761 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_ACQ msg=audit(1462384201.780:843): pid=3761 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=LOGIN msg=audit(1462384201.780:844): pid=3761 uid=0 old-auid=4294967295 auid=0 old-ses=4294967295 ses=22 res=1
type=USER_START msg=audit(1462384201.780:845): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1462384201.796:846): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1462384201.800:847): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'

しかし、ルールが定義されていないため、なぜ最初にログに何が表示されるのかわかりません。

$ auditctl -l
No rules

デフォルトを除いて、/etc/audit/audit.rulesまたは/etc/audit/rules.dにはルールが見つかりません。

-D
-b 320

明らかに何かが欠けています。デフォルトでは何がログに記録されますか?

6
2rs2ts

これらのイベントは、監査イベントを監査サービスに送信する他の機能(pam、opensshなど)から送信されます。イベントが必要ない場合は、カーネルコマンドライン引数にaudit = 0を追加します。

監査サービスを使用する可能性のある機能を知りたい場合は、次のようなことを試してください

[burn@fc24 ~]$ rpm -q --whatrequires audit-libs
libsemanage-2.5-2.fc24.x86_64
shadow-utils-4.2.1-8.fc24.x86_64
pam-1.2.1-5.fc24.x86_64
util-linux-2.28-3.fc24.x86_64
openssh-7.2p2-9.fc24.x86_64
passwd-0.79-8.fc24.x86_64
gdm-3.20.1-3.fc24.x86_64
pam-1.2.1-5.fc24.i686
[burn@fc24 ~]$ 
4
BurnA

デフォルトでは、auditdはセキュリティ関連のコマンドをログに記録します。これは構成ファイルで確認できるものではなく、auditdの実行時にデフォルトで発生します。以下を使用して、最近システムにログオンしたコマンドの要約を取得できます。

Sudo aureport -x --summary

デフォルトでログに記録されるすべてのコマンドのリストを見つけることができませんでした。私のCentOS 7システムは、デフォルトでこれらをログに記録します(完全なリストではなく、ログに表示されるもののみ):

/usr/sbin/crond
/usr/libexec/dovecot/auth
/usr/sbin/sshd
/usr/bin/Sudo
/usr/sbin/xtables-multi
/usr/lib/systemd/systemd
/usr/bin/passwd

また、ログイン、ログアウト、SELinux関連のメッセージも記録します。

参照に使用された2つの記事:

2
Nigel B. Peck