auditdでユーザーパスワードファイル、グループファイル、shadowファイルなどユーザー・グループに関する設定変更操作を監査する設定方法を確認しました。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
設定例
/etc/audit/audit.rulesに下記設定を追加します。
(設定例)
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
(設定例の監査内容)
/etc/group、/etc/passwd、/etc/gshadow、/etc/shadow、/etc/security/opasswdファイルに対する書込み、属性変更操作を監査する。
※/etc/security/opasswd
過去に使用したパスワードが保存されているファイル
※/etc/gshadow
グループのパスワード
オプションの説明
・-w ファイルパス
監査対象のファイルパスを指定
・-k key
ログなどに記録されるレコードを後で識別できるように付加する文字列。管理者がログをある特定の監査記録を検索したり削除する際に使用できる。
・-p [r|w|x|a]
監視するパーミッション。
r=読込み, w=書込み, x=実行, a=属性変更