Получение auditd для записи исходного пользователя

Question

Получение auditd для записи исходного пользователя

Я использую птицу на нескольких узлах Передачи любому из узлов и устойчивости, и простота конфигурации была превосходна.

На наших обычных маршрутизаторах мы используем Vyatta, и я желаю, чтобы они заменили бы демона пограничного межсетевого протокола там птицей.:-)

5

centos logging auditd

задан Community 13 April 2017 в 15:14

Ссылка

2 ответа

Информация, которую вы запрашиваете, к счастью, уже включена в журналы. Конкретное поле, которое вы хотите найти, - это aud . Из справочной страницы для auditctl :

  auid Исходный идентификатор, с которым пользователь вошел в систему. Это аббревиатура
аудит uid. Иногда его называют loginuid. Или
 можно использовать текст или номер учетной записи пользователя.
что соответствует uid моей учетной записи. 

 Для получения дополнительных сведений о приведенном выше примере, а также краткого описания auditd, ознакомьтесь с этим сообщением в блоге  IT Security  блоггера сообщества (я), творчески озаглавленного  Краткое введение в Auditd . 

 Команда  ausearch , упомянутая fuero, является частью набора приложений, используемых для поиска и создания отчетов по этим довольно подробным журналам.


                  4

                  
                  
                     ответ дан 
                     3 December 2019 в 01:19 
                  
                  Ссылка


         
              



      
        Теги
        
         centos logging auditd       

        Похожие вопросы
        
          
                          201 
 Когда 'cron.daily' работает? - 29 October 2012 23:24 
                            142 
 Мой пароль поставлен под угрозу, потому что я забыл совершать нападки, Входят после ssh имя пользователя? - 20 October 2011 14:37 
                            132 
 Как Вы устанавливаете Узел. JS на CentOS? - 14 January 2013 08:17 
                            104 
  CentOS против Ubuntu [закрыто] - 18 February 2015 18:56 
                            100 
 Смонтируйте, что Хост CIFS снижается - 22 August 2012 00:17 
                            99 
 Как я обновляю время сервера CentOS от авторитетного сервера времени? - 12 March 2012 15:19 
                            97 
 Как добавить метку времени для избиения журнала сценария? - 25 March 2015 13:18 
                            96 
 “ВОЗМОЖНАЯ ПОПЫТКА ВЗЛОМА!” в/var/log/secure — что это означает? - 18 April 2011 00:32 
                            96 
 Как плохо это должно действительно установить Linux на одном большом разделе? - 29 August 2015 14:54 
                            94 
 Позволить SFTP, но запретить SSH? - 1 February 2015 16:39 
                            92 
 как Вы создаете ssh ключ для другого пользователя? - 22 October 2011 22:24 
                            85 
 Добавление каталога к $PATH в CentOS? - 15 January 2010 05:15 
                            83 
 Лучший способ корректно перезапустить CentOS? - 15 August 2014 04:48 
                            72 
 Мой/var/log/btmp файл огромен!Что мне делать? - 5 June 2018 00:50 
                            72 
 Покажите всем пользователям и их группам/наоборот - 31 January 2012 05:47

score 4 · Accepted Answer · 3 December 2019 в 01:19

Как указано здесь :

Использование сеанса

требует pam_loginuid.so

во всех связанных с входом в систему Файлы конфигурации PAM (не для su и sudo) позволят auditd записывать uid вызывающего пользователя в поле auid .

Вы можете выполнить поиск auditd журналы для этого идентификатора с

ausearch -ua

, что дает все команды, введенные пользователем, даже при выдаче себя за другую учетную запись.