カーネルモジュールのロード、アンロードを監査するルール設定について確認しました。

下記資料を参考にしました。
NSA（National Security Agency）の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』

設定例

　
上記サイトに設定例がありました。
/etc/audit/audit.rulesに下記設定を追加します。
　
（設定例）
-w /sbin/insmod -p x -k modules
-w /sbin/rmmod -p x -k modules
-w /sbin/modprobe -p x -k modules
-a always,exit -F arch=ARCH -S init_module -S delete_module -k modules
　
（監視対象のファイル
・/sbin/insmod
・/sbin/rmmod
・/sbin/modprobe
　
（監視対象のシステムコール）
・init_module
・delete_module
　

オプションの説明

　
・-a
　ルールを追加
　
・-w ファイルパス
　監査対象のファイルパスを指定
　
・-p [r|w|x|a]
　監視するパーミッション。
　r=読込み, w=書込み, x=実行, a=属性変更
　
・-k key
　ログなどに記録されるレコードを後で識別できるように付加する文字列。管理者がログをある特定の監査記録を検索したり削除する際に使用できる。
　
・-S [システムコール名 又は システムコール番号|all]
　監査対象のシステムコールを指定
　
・-F arch
　syscallのCPUアーキテクチャを指定。CPUアーキテクチャは’uname -m’で確認できます。”arch=b32″や”arch=b64″と指定します。

関連記事の目次