Недавно я настроил auditd и включил ведение журнала TTY, чтобы я мог предоставить кому-то доступ к оболочке без полномочий root и контролировать то, что они делают. (Для Чего это стоит, я дал им доступ к jailshell, функция cPanel, которая ограничивает их доступ только к их пользовательскому каталогу.)
Я настроил ее правильно, и для ее проверки я запустил aureport --tty -i
, чтобы увидеть все действия пользователей и ausearch -ul _username_ | aureport --tty -i
, чтобы отфильтровать активность новой учетной записи (здесь имя _username_
, псевдоним). В учетной записи _username_
я просто выполнил несколько простых команд, например cd
и ls
. Я также сравнил это с cat /home/_username_/.bash_history
. Я заходил в систему каждый день, чтобы проверить обновления, и уверен, что постоянно видел ту же запись активности из _username_
, основных вышеупомянутых команд. Я знаю, что видел это занятие, потому что помню, что меня смутило, что я не видел '' Я вижу, что он вошел в aureport
, пока я не вышел из системы. Мне пришлось обратиться в Google, чтобы узнать, что это ограничение на ведение журнала TTY без полномочий root. Так что это определенно было в авопорте
несколько дней назад.
Итак, сегодня я проверяю еще раз, и на этот раз есть новая активность для _username_
. Некоторые довольно безобидные на вид команды. Честно говоря, я ожидал, что у человека с аккаунтом будет больше активности. Однако меня очень смущает то, что нет предыдущих записей об активности от _username_
. Мои исходные тестовые команды больше не сообщаются aureport
.
Возможно ли, что они ничего не добились, каким-то образом получили root-доступ и стерли свою историю из auditd
, случайно стереть историю моих тестовых команд в процессе? Есть ли другие объяснения?
Чтобы расширить мой предыдущий комментарий:
Я ожидаю, что вместо того, чтобы злоупотреблять, ваши файлы журналов достигли максимального размера или события произошли более X раз назад, а самые старые записи были просто удалены системой.
Большинство систем сконфигурированы с настройками по умолчанию, которые не могут хранить журналы бесконечно долго, и упаковщики обычно включают либо скрипт возврата ротации журналов (в /etc/logrotate.d
), либо если service поддерживает такую вещь, ограничения по возрасту и / или размеру журналов в самом демоне.
Аудитд бывает второй разновидности.
Проверьте свой auditd.conf
на предмет текущих настроек и man 5 auditd.conf
для всех поддерживаемых опций и значений по умолчанию; такие как настройки для max_log_file
и num_logs
, которые вы нашли.
Чтобы ответить на заголовок вашего вопроса:
Можно ли изменять журналы auditd?
Да: если вы дадите людям доступ на уровне администратора, они обычно могут изменить всю вашу систему. Вот почему рекомендуется дублировать события журнала на безопасный удаленный сервер регистрации.