auditdの監査ルール設定方法の概要をまとめました。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
●auditd監査ルールで設定できる事
・開始または終了に関わる任意のシステムコールを追跡出来る。
・プロセスID、ユーザーID、成功した呼出、システムコールの引数を使って検索するなどフィルタリングが出来る。
・ファイル内のコンテンツ、メタデータの変更をモニタ出来る。
●監査ルールの設定方法
・設定ファイル
/etc/audit/audit.rules
/etc/audit/audit.rules内に設定されている項目が”auditctl”に渡されて、一つ一つテストされます。
・推奨の監査ルールが”/usr/share/doc/audit-(バージョン番号)/stig.rules”に用意されています。
このファイルをコピーして/etc/audit/audit.rulesにリネームして適宜カスタマイズしながら使用すると良いかと思います。
なお上記ファイル内に”arch=b32″や”arch=b64″など各アーキテクチャ用に記述されている部分がありますので、自サーバーに当てはまらない行はコメントアウトします。
-
OpenSSH
- レンタルサーバー(VPS)にSSHでログイン
- VPS(レンタル)サーバー上のssh初期設定確認
- SSH接続の仕組み
- OpenSSHの設定ファイル
- OpenSSHの設定をよりセキュアに
- CentOS Stream9のSSH設定(OpenSSH)
- WinSCPを使ってファイル転送
ネットワーク、ポート番号
rpmパッケージ、サービス
パーミッション
ログイン、認証、パスワード、アカウント制御
auditdでシステム監査
ツール
トラブルシューティング
- auditdを使ってシステム監査
- auditdのログ容量の設定
- auditd監査ルールの設定方法
- auditdで時間設定変更操作を監査する
- auditdでユーザー・グループ設定ファイル変更操作を監査する
- auditdでネットワーク関連の設定変更を監査する
- auditdでログイン記録のログファイルの変更を監査する
- auditdでファイル所有者や権限の変更に関するイベントを監査する
- auditdでsetuid、setgidプログラムの実行を監査する
- auditdでマウント操作を監査する
- auditdでファイル削除操作を監査する
- auditdでsudo設定ファイルに対する操作を監査する
- auditdでカーネルモジュールのロード、アンロードを監査する
- マシン再起動後にauditdの設定変更を有効にする設定
- ausearch、aureportで監査ログのサマリレポートを作成