Outils pour utilisateurs

Outils du site


auditd

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

auditd [2016/08/18 17:45] (Version actuelle)
Ligne 1: Ligne 1:
 +{{tag> RH securite veille }}
 +
 +===== Audit =====
 +
 +==== Biblio / sources ====
 +https://​access.redhat.com/​documentation/​en-US/​Red_Hat_Enterprise_Linux/​6/​html/​Security_Guide/​chap-system_auditing.html
 +
 +==== Surveiller les accès à des fichiers avec auditd ​ ====
 +
 +
 +yum install audit 
 +
 +=== system-config-audit ===
 +
 +yum install system-config-audit
 +
 +état du service: auditctl -s
 +
 +règles chargées: auditctl -l
 +
 +construire une règle qui va enregistrer les modifications de données et permissions du fichier /​etc/​passwd:​
 +auditctl -w /etc/passwd -p wa -k passwd_changes
 +
 +l'​option -k permet de spécifier un mot-clé / une étiquette qui sera accolé à l'​évènement.
 +
 +il est également possible de faire la même chose sur un répertoire entier (c'est récursif)
 +
 +auditctl -w /etc/ -p wa -k config changes !
 +
 +grep passwd_changes /​var/​log/​audit/​audit.log
 +
 +
 +on peut rendre les règles persistante en copiant leur définition (ex la commande ci-dessus, **sans** auditctl) dans un fichier /​etc/​audit.rule
 +
 +On peut également utiliser un modèle pré éxistant. par exemple /​usr/​share/​doc/​audit-2.4.1/​capp.rules
 +
 +il suffit de copier le fichier en tant que /​etc/​audit/​audit.rules
 +
 +
 +Cette page: https://​access.redhat.com/​documentation/​en-US/​Red_Hat_Enterprise_Linux/​6/​html/​Security_Guide/​sec-Understanding_Audit_Log_Files.html sera utile pour déchiffrer le contenu du log
 +
 +
 +ausyscall --dump permet d'​obtenir la liste des syscall
 +
 +ausearch -i --uid UID - recherche d'un utilisateur depuis son UID
 +
 +ausearch -f /​etc/​ssh/​sshd_config recherche d'​évenement en rapport avec le fichier /​etc/​ssh/​sshd_config
 +
 +
 +Génération de rapport:
 +
 +aureport
 +
 +ausearch --start today --loginuid 0 --raw | aureport -f --summary # génère un rapport listant tous les fichiers accédés par root ce jour
 +
 +=== Bug ===
 +
 +Un matin, pulseaudio refuse de démarrer. En cause, un manque de marqueurs inotify, que je pense consommé par auditd. Cf le log ci-dessous:
 +
 +août 15 21:32:51 cafeine.opendoor.fr pulseaudio[18791]:​ [pulseaudio] module-udev-detect.c:​ You apparently ran out of inotify watches, probably because Tracker/​Beagle took them all away. I wished people would do their homework first and fix inotify before using it for watching whole directory trees which is something the current inotify is certainly not useful for. Please make sure to drop the Tracker/​Beagle guys a line complaining about their broken use of inotify.
 +août 15 21:32:51 cafeine.opendoor.fr pulseaudio[18791]:​ [pulseaudio] module-systemd-login.c:​ Failed to create session monitor: No space left on device
 +août 15 21:32:51 cafeine.opendoor.fr pulseaudio[18791]:​ [pulseaudio] module.c: Failed to load module "​module-systemd-login"​ (argument: ""​):​ initialization failed.
 +
 +solution: ​ via [[:​sysctl]] ​ : fs.inotify.max_user_watches=524288
 +
 +
 +# vim: set filetype=dokuwiki:​
  
auditd.txt · Dernière modification: 2016/08/18 17:45 (modification externe)