auditdでファイル削除操作を監査する

ファイル削除操作をauditdで監査するルール設定について確認しました。

下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』

設定例


 
上記サイトに設定例がありました。
/etc/audit/audit.rulesに下記設定を追加します。
 
(設定例)
-a always,exit -F arch=ARCH -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete
 
※下記システムコールを監査
 
・unlink
名前を削除し、場合によってはそれが参照しているファイルも削除する
 
・unlinkat
ディレクトリファイルディスクリプタから相対的な位置にあるディレクトリエントリを削除する
 
・rename
ファイルの名前や位置を変更する
 
・renameat
ディレクトリファイルディスクリプタから相対的な位置にあるファイルの名前を変更する
 

オプションの説明


 
・-a
 ルールを追加
 
・-k key
 ログなどに記録されるレコードを後で識別できるように付加する文字列。管理者がログをある特定の監査記録を検索したり削除する際に使用できる。
 
・-F auid
 ログインIDを監視
 
・-F arch
 syscallのCPUアーキテクチャを指定。CPUアーキテクチャは’uname -m’で確認できます。”arch=b32″や”arch=b64″と指定します。

関連記事の目次

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください