Назад | Перейти на главную страницу

Отслеживайте любые изменения файлов с помощью auditd

Я пытаюсь настроить PCI REQ 10.5.5 «Использовать программное обеспечение для мониторинга целостности файлов или обнаружения изменений в журналах»

Используйте для этого auditd, правило «auditctl -w / tmp / testfile -p war» работает отлично.

Но если я попытаюсь использовать перенаправление stdout для такого файла, как "echo" hi ">> / tmp / testfile" Строка добавляется, но в audit.log нет изменений.

Кто-нибудь знает, как регистрировать все изменения в файле с помощью auditd?

auditd действительно улавливает изменение файла, но регистрируется как bash, выполняющий системный вызов, к сожалению, без указания пути назад к измененному файлу.

В качестве обходного пути для каждого правила мониторинга файла я включаю файл в имя ключа. Например:

-w /etc/login.txt -p wa -k login.txt-modified

Таким образом, записи в журнале запускаются с echo > login.txt будет легко найти. В Red Hat есть открытая ошибка по этому поводу:

https://bugzilla.redhat.com/show_bug.cgi?id=1204937

Я просто попробовал это на Centos 6.3 и получил тот же результат. При чтении файла сработал auditd, но при добавлении с помощью echo этого не произошло.

Включение x вроде работает. + Изменить -p war к -p warx и посмотрите, работает ли это для вас в Ubuntu.

На самом деле я бы не стал использовать для этого только аудит. Для моих систем, совместимых с PCI и HIPAA, я использовал auditd для записи изменений в критически важных системных файлах и функциях, но с использованием либо Помощник или Tripwire для фактического мониторинга целостности файлов и отчетности.