LINUX.ORG.RU
ФорумAdmin

ubuntu и аудит

 ,


0

1

всем привет, появилась задача..сделать аудит конкретной папки на отсутствие к ней прав, при открытии. C помощью гугла нашел auditd, установил, в файле конфигурации:

/etc/audit/rules.d/audit.rules
создал правило на папку:
-w /home/user/test -p r
далее пытаюсь зайти в папку /home/user/test, ввожу неправильный пароль, и в audit.log получаю только сообщение о неправильной авторизации без указания папки и каких-то еще данных, если ввести правильный пароль, то сообщения с какой-то инфой о папке приходят. что я делаю не так? как мне получить сообщение с фейлом доступа к конкретной папке?

Ответ на: комментарий от chenbr0

сервис перезапускал. после моей неудачной попытки доступа к папке, в audit.log падает только вот это сообщение:

type=USER_AUTH msg=audit(1600036648.181:187): pid=3516 uid=1000 auid=1000 ses=2 msg='op=PAM:authentication acct="user" exe="/usr/lib/policykit-1/polkit-agent-helper-1" hostname=? addr=? terminal=? res=failed'

follownow ()
 -w /home/user/test -p r 

ты попросил логировать чтение файла, ввёл неправильный пароль, чтения не случилось, auditctl ничего не залогировал. как по мне, всё максимально логично. почему бы тебе не попросить policykit залогировать свой action и subject, вместе того, чтобы хотеть странного от auditd?

vedowi6419 ()

Разобрался с аудитом, всем большое спасибо. Но возник еще один вопрос.. на попытку доступа к файлу, в audit.log падает несколько сообщений, такого вида:

type=SYSCALL msg=audit(1600673417.953:1663): arch=c000003e syscall=257 success=no exit=-13 a0=ffffff9c a1=5601c3253f10 a2=90800 a3=0 items=1 ppid=43625 pid=44438 auid=1001 uid=1001 gid=1001 euid=1001 suid=1001 fsuid=1001 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=130 comm="pool" exe="/usr/bin/nautilus" subj==unconfined key=(null)
type=CWD msg=audit(1600673417.953:1663): cwd="/home/oleg"
type=PATH msg=audit(1600673417.953:1663): item=0 name="/tmp/tester" inode=265352 dev=08:01 mode=040400 ouid=1000 ogid=1000 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PROCTITLE msg=audit(1600673417.953:1663): proctitle=2F7573722F62696E2F6E617574696C7573002D2D676170706C69636174696F6E2D73657276696365
вот таким образом передается все через rsyslog на сервер:
# auditd audit.log  
$InputFileName /var/log/audit/audit.log  
$InputFileTag tag_audit_log:  
$InputFileStateFile audit_log  
$InputFileSeverity info  
$InputFileFacility local6  
$InputRunFileMonitor
но мне бы хотелось, чтоб эти сообщения, которые падают в audit.log, приходили на сервер в виде одного сообщения, это можно как-то сделать? спасибо.

follownow ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.