Назад | Перейти на главную страницу

Как настроить auditd для записи всей активности событий, запускаемых с WinSCP

У меня есть требование от клиента (после нескольких дней поиска я понятия не имею, можно ли его реализовать). Это просьба: «Правила журнала аудита должны быть расширены для событий (создание, удаление, обновление, изменение, переименование) независимо от пользователя. Я надеюсь, что тогда я также увижу события, которые выполняются с WinSCP».

Моя конфигурация auditd:

[root@host1~]# auditctl -l
-a always,exit -F arch=b64 -S execve -F euid=44055 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=44055 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2971 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2971 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2961 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2961 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=44057 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=44057 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2341 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2341 -F key=user-activity
-a always,exit -S oldlstat,swapon
-w /etc/group -p wa
-w /etc/passwd -p wa
-w /etc/shadow -p wa
-w /etc/sudoers -p wa
You have new mail in /var/spool/mail/root

Спасибо, С наилучшими пожеланиями, июль

Добавьте правило для отслеживания каталога, в который вы ожидаете, что пользователи будут загружать файлы.

 -w /home -k home-events

Это будет рекурсивно следить за всеми флагами open () для любой активности в / home. Может быть большой объем, и в этом случае вы можете выбрать более конкретный каталог или использовать дополнительные параметры -F для фильтрации.

Если вы не заблокировали sftp / scp, это не все места, куда они могли бы загружать файлы, есть также / tmp.