auditdで日付、時刻など時間に関する設定変更操作を監査する設定方法を確認しました。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
設定例
/etc/audit/audit.rulesに下記設定を追加します。
(設定例)
-a always,exit -F arch=ARCH -S adjtimex -S settimeofday -S stime -k time-change
-a always,exit -F arch=ARCH -S clock_settime -k time-change
-w /etc/localtime -p wa -k time-change
(設定例の監査内容)
・下記システムコールを監査。
adjtimex カーネルの時計を調整
settimeofday 日付と時刻の設定
stime 時間を設定
clock_settime 日付と時刻の設定
・/etc/localtimeに対する書込み、属性変更を監査
・ログ記録の識別用に”time-change”という文字列を付加
オプションの説明
・-a
ルールを追加
・-w ファイルパス
監査対象のファイルパスを指定
・-S [システムコール名 又は システムコール番号|all]
監査対象のシステムコールを指定
・-k key
ログなどに記録されるレコードを後で識別できるように付加する文字列。管理者がログをある特定の監査記録を検索したり削除する際に使用できる。
・-p [r|w|x|a]
監視するパーミッション。
r=読込み, w=書込み, x=実行, a=属性変更
・-F arch
syscallのCPUアーキテクチャを指定。CPUアーキテクチャは’uname -m’で確認できます。”arch=b32″や”arch=b64″と指定します。