Audit
#セキュリティ #監視 #Linux
運用
特定uid以外のwrite read ログインのログを取る?
重要なディレクトリやファイルの監視
ルール
パスワードに対して書き込み、変更するシステムコール
-a exit, always -F arch = b 64 -w /etc/ passwd -p wa
java
OGNLとして解釈される部分に脆弱性があった場合のログ
ausyscall 1 -> write
システムコール番号確認
検索
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/6/html/security_guide/sec-searching_the_audit_log_files
ausearch -sc 1
-sc systemcallログを検索
レポート
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/6/html/security_guide/sec-creating_audit_reports
aureport -u --failed --summary -i
全ユーザーの失敗したイベントのレポートサマリーを生成
aureport --login --summary -i
システムユーザーごとのすべてのログイン試行失敗のレポートサマリーを生成
aureport -t
時間帯
ログ
引数 ausearchで検索
a0=7fffd19c5592, a1=0, a2=7fffd19c5592, a3=a
id nginx
auid=500
ログインしたアカウントのuid
アカウント切り替えても変わらない
euid=500
euid プロセスを開始したユーザーの実効ユーザー ID
SUID(Set User ID)
「passwd」コマンド
実行権のあるファイルに設定される特殊なアクセス権
その実行ファイルの所有者のアカウント権限で実行
ses
セッションID
comm="cat"
exe="/bin/cat"
subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
分析されているプロセスの実行時にラベル付けされた SELinux コンテンツ
cwd="/home/shadowman"
cwd フィールドは、システムコールが開始されたディレクトリーへのパス
mode=0100600
mode フィールドは、ファイルまたはディレクトリーパーミッションを数字表記でエンコードされた形で記録