Я недавно установил auditd и включил ведение журнала TTY, чтобы я мог предоставить кому-то доступ к оболочке без полномочий root и следить за тем, что они делают. (Ради чего я дал им доступ к jailshell, функции cPanel, которая ограничивает их доступ только их пользовательским каталогом.)
Я правильно настроил его, и чтобы проверить это, я запустил aureport --tty -i
чтобы увидеть всю активность пользователей и ausearch -ul _username_ | aureport --tty -i
для фильтрации активности новой учетной записи (далее именуемой _username_
, псевдоним). На _username_
аккаунт, я просто выполнил несколько простых команд, например cd
и ls
. Я также сравнил это с cat /home/_username_/.bash_history
. Я заходил в систему каждый день, чтобы проверять обновления, и уверен, что постоянно видел ту же запись активности от _username_
, основные вышеупомянутые команды. Я знаю, что видел это действие, потому что помню, что меня сбило с толку, что я не видел, как оно вошло в систему aureport
пока я не вышел из системы. Мне пришлось обратиться в Google, чтобы узнать, что это ограничение на ведение журнала TTY без полномочий root. Так что это определенно было в aureport
несколько дней назад.
Итак, сегодня я проверяю еще раз, и на этот раз есть новая активность для _username_
. Некоторые довольно безобидные на вид команды. Честно говоря, я ожидал, что у человека с аккаунтом будет больше активности. Что меня очень смущает, так это то, что никаких предыдущих записей об активности от _username_
. Мои исходные тестовые команды больше не отправляются aureport
.
Неужели они до добра встали, как-то получили root-доступ и стерли свою историю из auditd
, случайно стирая историю моих тестовых команд в процессе? Есть ли другие объяснения?
Чтобы расширить мой предыдущий комментарий:
Вместо того, чтобы злоупотреблять, я ожидаю, что ваши файлы журналов либо достигли максимального размера, либо события произошли более X раз назад, а самые старые записи были просто удалены системой.
Большинство систем сконфигурированы со значениями по умолчанию, которые не будут хранить журналы бесконечно долго, и упаковщики обычно включают либо скрипт смены журнала ротации (в /etc/logrotate.d
) или, если служба поддерживает такую вещь, ограничения по возрасту и / или размеру журналов в самом демоне.
Аудитд бывает второй разновидности.
Проверьте свои auditd.conf
для ваших текущих настроек и man 5 auditd.conf
для всех поддерживаемых опций и значений по умолчанию; такие как настройки для max_log_file
и num_logs
что вы нашли.
Чтобы ответить на заголовок вашего вопроса:
Можно ли изменить журналы auditd?
Да: если вы дадите людям доступ на уровне администратора, они обычно могут изменить всю вашу систему. Вот почему лучше всего дублировать события журнала на безопасный удаленный сервер регистрации.