lastlog、wtmp、btmp、utmpなどのログファイルに対する変更をauditdで監査する設定方法を確認しました
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
設定例
/etc/audit/audit.rulesに下記設定を追加します。
(設定例)
-w /var/log/faillog -p wa -k logins
-w /var/log/lastlog -p wa -k logins
-w /var/run/utmp -p wa -k session
-w /var/log/btmp -p wa -k session
-w /var/log/wtmp -p wa -k session
(設定例の監査内容)
・下記ログファイルに対する書込み、属性変更を監査
/var/log/wtmp
システムに対するログイン試行のうち、成功したものについてその情報を記録。lastコマンドで参照
/var/log/btmp
/var/log/wtmpとは反対に、システムに対するログイン試行のうち、失敗したものについてその情報を記録。lastbコマンドで参照
/var/log/lastlog
システムに登録されているユーザーの最終ログイン時刻を記録。lastlogコマンドで参照。
/var/log/faillog
/var/log/btmpが不正なログインすべてを記録するのに対し、ユーザーごとにログインの失敗回数を記録。※CentOS6.2には無し
/var/run/utmp
システムを現在誰が使っているかという情報が記録。who、wコマンドで参照
・ログ記録の識別用に”logins”または”session”という文字列を付加
オプションの説明
・-w ファイルパス
監査対象のファイルパスを指定
・-k key
ログなどに記録されるレコードを後で識別できるように付加する文字列。管理者がログをある特定の監査記録を検索したり削除する際に使用できる。
・-p [r|w|x|a]
監視するパーミッション。
r=読込み, w=書込み, x=実行, a=属性変更 関連記事の目次
-
OpenSSH
- レンタルサーバー(VPS)にSSHでログイン
- VPS(レンタル)サーバー上のssh初期設定確認
- SSH接続の仕組み
- OpenSSHの設定ファイル
- OpenSSHの設定をよりセキュアに
- CentOS Stream9のSSH設定(OpenSSH)
- WinSCPを使ってファイル転送
ネットワーク、ポート番号
rpmパッケージ、サービス
パーミッション
ログイン、認証、パスワード、アカウント制御
auditdでシステム監査
ツール
トラブルシューティング
- auditdを使ってシステム監査
- auditdのログ容量の設定
- auditd監査ルールの設定方法
- auditdで時間設定変更操作を監査する
- auditdでユーザー・グループ設定ファイル変更操作を監査する
- auditdでネットワーク関連の設定変更を監査する
- auditdでログイン記録のログファイルの変更を監査する
- auditdでファイル所有者や権限の変更に関するイベントを監査する
- auditdでsetuid、setgidプログラムの実行を監査する
- auditdでマウント操作を監査する
- auditdでファイル削除操作を監査する
- auditdでsudo設定ファイルに対する操作を監査する
- auditdでカーネルモジュールのロード、アンロードを監査する
- マシン再起動後にauditdの設定変更を有効にする設定
- ausearch、aureportで監査ログのサマリレポートを作成