Я установил auditd и audispd-plugins на моей машине Debian Jessie и не касался никакой конфигурации. Я вижу, что события записываются в /var/log/audit/audit.log, например:
type=LOGIN msg=audit(1462384141.770:838): pid=3662 uid=0 old-auid=4294967295 auid=0 old-ses=4294967295 ses=21 res=1
type=USER_START msg=audit(1462384141.770:839): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1462384141.778:840): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1462384141.778:841): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_ACCT msg=audit(1462384201.780:842): pid=3761 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_ACQ msg=audit(1462384201.780:843): pid=3761 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=LOGIN msg=audit(1462384201.780:844): pid=3761 uid=0 old-auid=4294967295 auid=0 old-ses=4294967295 ses=22 res=1
type=USER_START msg=audit(1462384201.780:845): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1462384201.796:846): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1462384201.800:847): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
Но я не уверен, почему я вообще что-то вижу в журнале, потому что у меня нет определенных правил:
$ auditctl -l
No rules
Я не могу найти никаких правил в /etc/audit/audit.rules или /etc/audit/rules.d кроме значений по умолчанию:
-D
-b 320
Очевидно, я что-то упускаю. Что регистрируется по умолчанию?
Эти события поступают от других возможностей (pam, openssh и т. Д.), Которые отправляют события аудита в службу аудита. Если вы не хотите никаких событий, добавьте audit = 0 в аргументы командной строки ядра.
Если вы хотите узнать, какие возможности, возможно, потребуется использовать в службе аудита, попробуйте что-нибудь вроде
[burn@fc24 ~]$ rpm -q --whatrequires audit-libs
libsemanage-2.5-2.fc24.x86_64
shadow-utils-4.2.1-8.fc24.x86_64
pam-1.2.1-5.fc24.x86_64
util-linux-2.28-3.fc24.x86_64
openssh-7.2p2-9.fc24.x86_64
passwd-0.79-8.fc24.x86_64
gdm-3.20.1-3.fc24.x86_64
pam-1.2.1-5.fc24.i686
[burn@fc24 ~]$
По умолчанию auditd регистрирует команды, связанные с безопасностью. Это не то, что можно увидеть в файлах конфигурации, это происходит по умолчанию при запущенном auditd. Вы можете получить сводку о том, какие команды были зарегистрированы в вашей системе в последнее время, используя:
sudo aureport -x --summary
Мне не удалось найти список всех команд, которые регистрируются по умолчанию. Моя система CentOS 7 регистрирует их по умолчанию (не исчерпывающий список, только то, что показано в журналах):
/usr/sbin/crond
/usr/libexec/dovecot/auth
/usr/sbin/sshd
/usr/bin/sudo
/usr/sbin/xtables-multi
/usr/lib/systemd/systemd
/usr/bin/passwd
Он также регистрирует вход в систему, выход из системы и сообщения, связанные с SELinux.
Две статьи, которые использовались для справки: