setuid、setguidがセットされたプログラムの実行に関するイベントをauditdで監査する設定方法を確認しました
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
システム内にあるsetuid、setgidがセットされたファイルを検索するには?
事前に監査対象のファイルが決まっている場合は不要かもしれませんが、下記findコマンドで指定したパーティション内に存在するsetuid、setgidプログラムの検索が出来ます。
# find パーティション -xdev \( -perm -4000 -o -perm -2000 \) -type f | awk ‘{print $1}’
設定例
上記findコマンドにaudit設定項目を追加し、各setuid、setgidプログラムに対するauditdルールを作成する事が出来ます。
下記コマンドの実行結果を/etc/audit/audit.rulesに追加します。
# find パーティション -xdev \( -perm -4000 -o -perm -2000 \) -type f | awk ‘{print “-a always,exit -F path=” $1 ” -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged” }’
(実行例)
# find / -xdev \( -perm -4000 -o -perm -2000 \) -type f | awk ‘{print “-a always,exit -F path=” $1 ” -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged” }’
-a always,exit -F path=/lib64/dbus-1/dbus-daemon-launch-helper -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged
-a always,exit -F path=/var/qmail/bin/qmail-queue -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged
:
オプションの説明
・-a
ルールを追加
・-k key
ログなどに記録されるレコードを後で識別できるように付加する文字列。管理者がログをある特定の監査記録を検索したり削除する際に使用できる。
・-F auid
ログインIDを監視 関連記事の目次
-
OpenSSH
- レンタルサーバー(VPS)にSSHでログイン
- VPS(レンタル)サーバー上のssh初期設定確認
- SSH接続の仕組み
- OpenSSHの設定ファイル
- OpenSSHの設定をよりセキュアに
- CentOS Stream9のSSH設定(OpenSSH)
- WinSCPを使ってファイル転送
ネットワーク、ポート番号
rpmパッケージ、サービス
パーミッション
ログイン、認証、パスワード、アカウント制御
auditdでシステム監査
ツール
トラブルシューティング
- auditdを使ってシステム監査
- auditdのログ容量の設定
- auditd監査ルールの設定方法
- auditdで時間設定変更操作を監査する
- auditdでユーザー・グループ設定ファイル変更操作を監査する
- auditdでネットワーク関連の設定変更を監査する
- auditdでログイン記録のログファイルの変更を監査する
- auditdでファイル所有者や権限の変更に関するイベントを監査する
- auditdでsetuid、setgidプログラムの実行を監査する
- auditdでマウント操作を監査する
- auditdでファイル削除操作を監査する
- auditdでsudo設定ファイルに対する操作を監査する
- auditdでカーネルモジュールのロード、アンロードを監査する
- マシン再起動後にauditdの設定変更を有効にする設定
- ausearch、aureportで監査ログのサマリレポートを作成