マウント操作をauditdで監査するルール設定について確認しました。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
設定例
上記サイトに設定例がありました。
/etc/audit/audit.rulesに下記設定を追加します。
(設定例)
-a always,exit -F arch=ARCH -S mount -F auid>=500 -F auid!=4294967295 -k export
オプションの説明
・-a
ルールを追加
・-k key
ログなどに記録されるレコードを後で識別できるように付加する文字列。管理者がログをある特定の監査記録を検索したり削除する際に使用できる。
・-F auid
ログインIDを監視
・-F arch
syscallのCPUアーキテクチャを指定。CPUアーキテクチャは’uname -m’で確認できます。”arch=b32″や”arch=b64″と指定します。 関連記事の目次