Назад | Перейти на главную страницу

Можно ли изменить журналы auditd? (Безопасность, мониторинг оболочки)

Я недавно установил auditd и включил ведение журнала TTY, чтобы я мог предоставить кому-то доступ к оболочке без полномочий root и следить за тем, что они делают. (Ради чего я дал им доступ к jailshell, функции cPanel, которая ограничивает их доступ только их пользовательским каталогом.)

Я правильно настроил его, и чтобы проверить это, я запустил aureport --tty -i чтобы увидеть всю активность пользователей и ausearch -ul _username_ | aureport --tty -i для фильтрации активности новой учетной записи (далее именуемой _username_, псевдоним). На _username_ аккаунт, я просто выполнил несколько простых команд, например cd и ls. Я также сравнил это с cat /home/_username_/.bash_history. Я заходил в систему каждый день, чтобы проверять обновления, и уверен, что постоянно видел ту же запись активности от _username_, основные вышеупомянутые команды. Я знаю, что видел это действие, потому что помню, что меня сбило с толку, что я не видел, как оно вошло в систему aureport пока я не вышел из системы. Мне пришлось обратиться в Google, чтобы узнать, что это ограничение на ведение журнала TTY без полномочий root. Так что это определенно было в aureport несколько дней назад.

Итак, сегодня я проверяю еще раз, и на этот раз есть новая активность для _username_. Некоторые довольно безобидные на вид команды. Честно говоря, я ожидал, что у человека с аккаунтом будет больше активности. Что меня очень смущает, так это то, что никаких предыдущих записей об активности от _username_. Мои исходные тестовые команды больше не отправляются aureport.

Неужели они до добра встали, как-то получили root-доступ и стерли свою историю из auditd, случайно стирая историю моих тестовых команд в процессе? Есть ли другие объяснения?

Чтобы расширить мой предыдущий комментарий:

Вместо того, чтобы злоупотреблять, я ожидаю, что ваши файлы журналов либо достигли максимального размера, либо события произошли более X раз назад, а самые старые записи были просто удалены системой.

Большинство систем сконфигурированы со значениями по умолчанию, которые не будут хранить журналы бесконечно долго, и упаковщики обычно включают либо скрипт смены журнала ротации (в /etc/logrotate.d) или, если служба поддерживает такую ​​вещь, ограничения по возрасту и / или размеру журналов в самом демоне.

Аудитд бывает второй разновидности.

Проверьте свои auditd.conf для ваших текущих настроек и man 5 auditd.conf для всех поддерживаемых опций и значений по умолчанию; такие как настройки для max_log_file и num_logs что вы нашли.

Чтобы ответить на заголовок вашего вопроса:

Можно ли изменить журналы auditd?

Да: если вы дадите людям доступ на уровне администратора, они обычно могут изменить всю вашу систему. Вот почему лучше всего дублировать события журнала на безопасный удаленный сервер регистрации.