Аудит в Linux

[_SanR]

Добрый вечер, уважаемые коллеги.
Не могли бы вы помочь разобраться с несколькими вопросами по Linux:

1) Что из себя представляют файлы журнала аудита?
2) Какие есть типы регистрируемых событий и как их задавать?
3) Кто может:
- просматривать события?
- изменять правила?
- очищать журналы?

Заранее благодарю за помощь.

[Utkin]

Цитата:

Что из себя представляют файлы журнала аудита?

Файл куда ядро пишет некоторые события.
Остальные вопросы здесь например:
http://vanonsk.blogspot.ru/2010/12/auditd.html

[_SanR]

Спасибо, вот что получается
(
Что-то то с типами событий какой-то косяк, было бы круто посмотреть доку по ним.
Не кто не знает где можно найти полный список регистрируемых в линукс событий?
И по поводу 3 помоему я не верно ответил. Не кто не может проверить плохо разбирающегося в линукс человека?
):
------------------
1. Файлы журнала аудита?
Конфигурационные файлы журнала аудита:
- /etc/sysconfig/auditd — содержит настройки используемые при старте даемона auditd;
- /etc/audit/auditd.conf — настройки поведения даемона auditd;
- /etc/audit/audit.rules — файл содержащий правила аудита.

В файле /etc/audit/auditd.conf можно задать параметры файла журнала аудита:
- log_file — место расположения и название файла аудита (по умолчанию: /var/log/audit/audit.log);
- max_log_file и max_log_file_action. max_log_file — максимальный размер лог файла в мегабайтах, по достижению которого будет выполнено действие определенное в max_log_file_action. Возможные действия: ignore — ничего не делать; syslog — отправить предупреждение в syslog; suspend — остановить запись событий на диск; rotate — произвести ротацию лог файлов в соответствии с числом num_logs; keep_logs — осуществить ротацию, при этом не удалять старые файлы.


2. Типы регистрируемых событий и как они задаются?
Типы регистрируемых событий:
- события связанные с созданием процессов;
- события доступа к файлам и каталогам;
- события, в которых указываются параметры пользовательского пространства, такие как uid, pid и gid;
- события системных вызовов;

Для настройки правил аудита системных вызовов и слежения за файлами и каталогами используется утилита auditctl.
Демон auditd считывает правила сверху вниз и если будет обнаружено два конфликтующих правила, то предпочтение будет отдано первому найденному правилу.
Каждая строка описания правила аудита системных вызовов имеет следующий синтаксис:
-а ,
В качестве параметра указывается список событий, в который добавляется данное правило. К таким спискам относятся списки:
- task (используется для ведения событий, связанных с созданием процессов)
- user (используется для ведения событий, в которых указываются параметры пользовательского пространства, такие как uid, pid и gid),
- exclude (используется для запрета аудита указанных в данном списке событий),
- entry (используется для регистрации событий системных вызовов)
- exit (используется для регистрации событий системных вызовов).
В качестве параметра указывается одно из действий, предпринимаемых по отношению к указанным в списках событиям. Доступно всего два действия: never и always. Пи указании действия never, события не записываются в журнал аудита. Указание действия always имеет противоположный эффект.
В параметре задаются опции, являющиеся фильтрами, при помощи которых можно детализировать события аудита. Полный список опций можно посмотреть в руководстве man для команды auditdctl. В качестве опций можно задавать уникальные идентификаторы пользователя или процесса, название системного вызова и многое другое. При этом, возможно использовать логические выражения для формирования комбинированных опций.

3. Кто может просматривать события, изменять правила, очищать журналы?

Демон auditd позволяет системному администратору настраивать процесс аудита, а именно:
- задавать отдельный файл для журналирования событий;
- определять ротацию журнального файла событий;
- задавать оповещения в случае переполнения журнала событий;
- определять уровень детализации событий;
- настраивать правила аудита.

Обычно журнальный файл системы аудита событий ОС Linux можно просматривать при помощи любого текстового редактора. Однако для выполнения общего анализа событий требуется суммировать отдельные записи в данном файле, что практически нереально выполнить, используя только возможности текстового редактора.
Для формирование более детального отчета необходимо выполнять команду aureport с использованием дополнительных ключей, который можно найти в руководстве man по данной команде.


---------------------------------------------
Что-то то с типами событий какой-то косяк, было бы круто посмотреть доку по ним.
Не кто не знает где можно найти полный список регистрируемых в линукс событий?
И по поводу 3 помоему я не верно ответил. Не кто не может проверить плохо разбирающегося в линукс человека?

[Utkin]

Цитата:

Однако для выполнения общего анализа событий требуется суммировать отдельные записи в данном файле, что практически нереально выполнить, используя только возможности текстового редактора.

Не ну это ребячество какое-то, есть же команды перенаправления и grep. Тут в консоль можно выжать любую информацию из текстового файла. Ну и любой линусятник закидает Вас помидорами по поводу текстовых редакторов. Они друг другу рознь, есть с кучей настроек и макросами - там тоже можно выбрать что угодно и куда угодно.

[_SanR]

Да, согласен, ерунду написал. Взято с http://vanonsk.blogspot.ru/2010/12/auditd.html