auditd監査ルールの設定方法

auditdの監査ルール設定方法の概要をまとめました。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』

auditd監査ルールで設定できる事


 
・開始または終了に関わる任意のシステムコールを追跡出来る。
 
・プロセスID、ユーザーID、成功した呼出、システムコールの引数を使って検索するなどフィルタリングが出来る。
 
・ファイル内のコンテンツ、メタデータの変更をモニタ出来る。
 

監査ルールの設定方法


 
・設定ファイル
/etc/audit/audit.rules
 
/etc/audit/audit.rules内に設定されている項目が”auditctl”に渡されて、一つ一つテストされます。
 
・推奨の監査ルールが”/usr/share/doc/audit-(バージョン番号)/stig.rules”に用意されています。
 
このファイルをコピーして/etc/audit/audit.rulesにリネームして適宜カスタマイズしながら使用すると良いかと思います。
 
なお上記ファイル内に”arch=b32″や”arch=b64″など各アーキテクチャ用に記述されている部分がありますので、自サーバーに当てはまらない行はコメントアウトします。

関連記事の目次

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です