Можно ли изменить журналы auditd? (Безопасность, мониторинг оболочки)
Недавно я настроил auditd и включил ведение журнала TTY, чтобы я мог предоставить кому-то доступ к оболочке без полномочий root и контролировать то, что они делают. (Для Чего это стоит, я дал им доступ к jailshell, функция cPanel, которая ограничивает их доступ только к их пользовательскому каталогу.)
Я настроил ее правильно, и для ее проверки я запустил aureport --tty -i , чтобы увидеть все действия пользователей и ausearch -ul _username_ | aureport --tty -i , чтобы отфильтровать активность новой учетной записи (здесь имя _username_ , псевдоним). В учетной записи _username_ я просто выполнил несколько простых команд, например cd и ls . Я также сравнил это с cat /home/_username_/.bash_history. Я заходил в систему каждый день, чтобы проверить обновления, и уверен, что постоянно видел ту же запись активности из _username_ , основных вышеупомянутых команд. Я знаю, что видел это занятие, потому что помню, что меня смутило, что я не видел '' Я вижу, что он вошел в aureport , пока я не вышел из системы. Мне пришлось обратиться в Google, чтобы узнать, что это ограничение на ведение журнала TTY без полномочий root. Так что это определенно было в авопорте несколько дней назад.
Итак, сегодня я проверяю еще раз, и на этот раз есть новая активность для _username_ . Некоторые довольно безобидные на вид команды. Честно говоря, я ожидал, что у человека с аккаунтом будет больше активности. Однако меня очень смущает то, что нет предыдущих записей об активности от _username_ . Мои исходные тестовые команды больше не сообщаются aureport .
Возможно ли, что они ничего не добились, каким-то образом получили root-доступ и стерли свою историю из auditd , случайно стереть историю моих тестовых команд в процессе? Есть ли другие объяснения?
Чтобы расширить мой предыдущий комментарий:
Я ожидаю, что вместо того, чтобы злоупотреблять, ваши файлы журналов достигли максимального размера или события произошли более X раз назад, а самые старые записи были просто удалены системой.
Большинство систем сконфигурированы с настройками по умолчанию, которые не могут хранить журналы бесконечно долго, и упаковщики обычно включают либо скрипт возврата ротации журналов (в /etc/logrotate.d ), либо если service поддерживает такую вещь, ограничения по возрасту и / или размеру журналов в самом демоне.
Аудитд бывает второй разновидности.
Проверьте свой auditd.conf на предмет текущих настроек и man 5 auditd.conf для всех поддерживаемых опций и значений по умолчанию; такие как настройки для max_log_file и num_logs , которые вы нашли.
Чтобы ответить на заголовок вашего вопроса:
Можно ли изменять журналы auditd?
Да: если вы дадите людям доступ на уровне администратора, они обычно могут изменить всю вашу систему. Вот почему рекомендуется дублировать события журнала на безопасный удаленный сервер регистрации.