У нас есть Ansible
Я хочу настроить аудит, который регистрирует, кто выполняет игру .. Поэтому я хочу только отслеживать выполнение команды ansible или ansible-playbook.
Я могу настроить Ansible для регистрации всей команды, используя это:
-a exit,always -F arch=b32 -S execve -k ansible
-a exit,always -F arch=b64 -S execve -k ansible
но это вызывает слишком много шума.
Как можно провести аудит использования ansible и ansible-playbook быть достигнуто ..
Примечание: я знаю, что ansible-playbook это сценарий Python, поэтому команда, за которой нужно следить, - это, возможно, команда Python?
Являясь встроенным в Ansible, вы можете использовать встроенную функцию ведения журнала задач в системном журнале и плагины обратного вызова которые можно отправлять по разным направлениям. Включая пользовательские плагины, с помощью которых аддон ARA записывает историю Ansible.
Удаленные системы не всегда выполняют ansible-playbook. Код модуля копируется, для модулей Python с Ансибальц. Исполняются только временные файлы или каналы stdin.
Изменить: обратите внимание, что модули Ansible, отличные от Python, технически возможны, но редки. Наблюдение за руководителями python не поймает преданного пользователя Ansible, создавшего модули Perl или Go.
Linux auditd ограничен тем, что exe, который вы можете фильтровать, - это двоичный интерпретатор (python), а не сценарий (ansible-playbook). Отфильтруйте системный питон, и вы увидите, что все скрипты python в системе запущены. У вас есть специальный питон для Ansible (virtualenv), и все еще ничто не мешает другим вещам (ansible-inventory) использовать этот питон.
Вы можете фильтровать события аудита по конкретному пользователю, что полезно, если вы запускаете игры только от имени этого пользователя.
Изменить: auditd хорош для отслеживания повышения привилегий в целом. Если это то, что вы хотите внимательно отслеживать, взгляните на примеры правил в исходном коде audit-userspace. Например, pci-dss Правило "Все повышения привилегий регистрируются".