マシン再起動後にauditdの設定変更を有効にする設定

auditdの設定ファイルの中身を簡単に変更されないようにするため、設定ファイルをロックしマシンを再起動しないと変更内容が有効にならないようにします。

下記資料を参考にしました。
NSA（National Security Agency）の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
　
/etc/audit/audit.rulesの最後の行に下記記述を追加します。
　
-e 2
　
●-eオプション
　
設定ファイルの”enabled”を制御するフラグ
　
・フラグを0
　
一時的に監査を無効にしたい場合に使用
　
・フラグの値を1
　
監査を有効にする場合に使用
　
・フラグを2
　
監査を有効にして、設定内容を変更できないようにロックする。
このモードで設定変更しようとすると監査によって拒否される。マシンの再起動によってのみ設定を変更できる。

関連記事の目次

セキュリティ全般

OpenSSH

　
ネットワーク、ポート番号

iptablesを使ってCentOSのファイアウォール設定

nmapでオープンしているポート番号とバージョンを確認

　
rpmパッケージ、サービス

CentOSで不要なサービスは起動しないようにする

RPMパッケージのインテグリティチェック

　
パーミッション

CentOSのumaskの設定

cronで使用するファイルのパーミッション設定

ユーザーホームディレクトリ内の権限設定をセキュアにする

CentOSのパスワードファイルのパーミッション設定

findコマンドでファイル書込権限をいっせいにチェック

findコマンドでセットユーザ（グループ）IDが不要にセットされていないかチェック

findコマンドで所有者、グループが存在しないファイルを抽出

　
ログイン、認証、パスワード、アカウント制御

ログイン時などに表示されるシステムバナーを変更するには？

CentOSのユーザーアカウントのパスワードポリシーを設定

pam_cracklibモジュールでパスワードポリシーを設定

pam_unix.soモジュールを使って過去のパスワード再使用を制限する

システムコンソールでのrootログインを制限する方法

suコマンドによるrootへのスイッチを制限する

root権限でのコマンド実行、sudoだと監査ログが取得できる

デーモン用アカウントなどに対しシェルを使用を無効にする

パスワード認証を失敗時にアカウントをロックアウトする設定

rootアカウントのPATH環境変数のセキュリティについて

　
auditdでシステム監査

auditdを使ってシステム監査

auditdのログ容量の設定

auditd監査ルールの設定方法

auditdで時間設定変更操作を監査する

auditdでユーザー・グループ設定ファイル変更操作を監査する

auditdでネットワーク関連の設定変更を監査する

auditdでログイン記録のログファイルの変更を監査する

auditdでファイル所有者や権限の変更に関するイベントを監査する

auditdでsetuid、setgidプログラムの実行を監査する

auditdでマウント操作を監査する

auditdでファイル削除操作を監査する

auditdでsudo設定ファイルに対する操作を監査する

auditdでカーネルモジュールのロード、アンロードを監査する

マシン再起動後にauditdの設定変更を有効にする設定

ausearch、aureportで監査ログのサマリレポートを作成

　
ツール

NTPのセキュリティを考慮した設定

セキュリティを考慮してX Windowsを設定または削除する方法

ファイルの改ざん対策用にTripwireを導入

CentOSにホスト型侵入検知ソフトAIDE（Advanced Intrusion Detection Environment）を導入

　
トラブルシューティング

アイドルのシェルを自動で強制終了させるには？

CentOSでコアダンプを無効にする方法

Linuxのbash脆弱性CVE-2014-6271、Shellshockを修整

CentOSでバッファーオーバーフロー脆弱性に対する防御機能が有効になっているか確認する

auditdでシステム監査

コメントを残すコメントをキャンセル

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください。