auditdでsudo設定ファイルに対する操作を監査する

sudo設定ファイルに対する操作をauditdで監査するルール設定について確認しました。

下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』

設定例


 
上記サイトに設定例がありました。
/etc/audit/audit.rulesに下記設定を追加します。
 
(設定例)
-w /etc/sudoers -p wa -k actions 
 

オプションの説明


 
・-w ファイルパス
 監査対象のファイルパスを指定
 
・-p [r|w|x|a]
 監視するパーミッション。
 r=読込み, w=書込み, x=実行, a=属性変更
 
・-k key
 ログなどに記録されるレコードを後で識別できるように付加する文字列。管理者がログをある特定の監査記録を検索したり削除する際に使用できる。

関連記事の目次

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です