Я пытаюсь настроить PCI REQ 10.5.5 «Использовать программное обеспечение для мониторинга целостности файлов или обнаружения изменений в журналах»
Используйте для этого auditd, правило «auditctl -w / tmp / testfile -p war» работает отлично.
Но если я попытаюсь использовать перенаправление stdout для такого файла, как "echo" hi ">> / tmp / testfile" Строка добавляется, но в audit.log нет изменений.
Кто-нибудь знает, как регистрировать все изменения в файле с помощью auditd?
auditd действительно улавливает изменение файла, но регистрируется как bash, выполняющий системный вызов, к сожалению, без указания пути назад к измененному файлу.
В качестве обходного пути для каждого правила мониторинга файла я включаю файл в имя ключа. Например:
-w /etc/login.txt -p wa -k login.txt-modified
Таким образом, записи в журнале запускаются с echo > login.txt
будет легко найти. В Red Hat есть открытая ошибка по этому поводу:
Я просто попробовал это на Centos 6.3 и получил тот же результат. При чтении файла сработал auditd, но при добавлении с помощью echo этого не произошло.
Включение x вроде работает. + Изменить -p war
к -p warx
и посмотрите, работает ли это для вас в Ubuntu.
На самом деле я бы не стал использовать для этого только аудит. Для моих систем, совместимых с PCI и HIPAA, я использовал auditd
для записи изменений в критически важных системных файлах и функциях, но с использованием либо Помощник или Tripwire для фактического мониторинга целостности файлов и отчетности.