setuid、setguidがセットされたプログラムの実行に関するイベントをauditdで監査する設定方法を確認しました

下記資料を参考にしました。
NSA（National Security Agency）の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』

システム内にあるsetuid、setgidがセットされたファイルを検索するには？

　
事前に監査対象のファイルが決まっている場合は不要かもしれませんが、下記findコマンドで指定したパーティション内に存在するsetuid、setgidプログラムの検索が出来ます。
　
# find パーティション -xdev \( -perm -4000 -o -perm -2000 \) -type f | awk ‘{print $1}’
　
　

設定例

　
上記findコマンドにaudit設定項目を追加し、各setuid、setgidプログラムに対するauditdルールを作成する事が出来ます。
下記コマンドの実行結果を/etc/audit/audit.rulesに追加します。
　
# find パーティション -xdev \( -perm -4000 -o -perm -2000 \) -type f | awk ‘{print “-a always,exit -F path=” $1 ” -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged” }’
　
（実行例）
# find / -xdev \( -perm -4000 -o -perm -2000 \) -type f | awk ‘{print “-a always,exit -F path=” $1 ” -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged” }’
　
-a always,exit -F path=/lib64/dbus-1/dbus-daemon-launch-helper -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged
-a always,exit -F path=/var/qmail/bin/qmail-queue -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged
　　　：
　

オプションの説明

　
・-a
　ルールを追加
　
・-k key
　ログなどに記録されるレコードを後で識別できるように付加する文字列。管理者がログをある特定の監査記録を検索したり削除する際に使用できる。
　
・-F auid
　ログインIDを監視

関連記事の目次