auditdでホスト名、ドメイン名、ネットワーク設定などネットワーク関連の設定変更操作を監査する設定方法を確認しました。

下記資料を参考にしました。
NSA（National Security Agency）の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』

設定例

　
/etc/audit/audit.rulesに下記設定を追加します。
　
（設定例）
-a exit,always -F arch=ARCH -S sethostname -S setdomainname -k system-locale
-w /etc/issue -p wa -k system-locale
-w /etc/issue.net -p wa -k system-locale
-w /etc/hosts -p wa -k system-locale
-w /etc/sysconfig/network -p wa -k system-locale
　
（設定例の監査内容）
・下記システムコールを監査。
sethostname
setdomainname
　
・下記ネットワーク関連の設定ファイルに対する書込み、属性変更を監査
　
/etc/issue、issue.net　OSのバージョンが記載
/etc/hosts
/etc/sysconfig/network
　
・ログ記録の識別用に”system-locale”という文字列を付加
　

オプションの説明

　
・-a
　ルールを追加
　
・-w ファイルパス
　監査対象のファイルパスを指定
　
・-S [システムコール名 又は システムコール番号|all]
　監査対象のシステムコールを指定
　
・-k key
　ログなどに記録されるレコードを後で識別できるように付加する文字列。管理者がログをある特定の監査記録を検索したり削除する際に使用できる。
　
・-p [r|w|x|a]
　監視するパーミッション。
　r=読込み, w=書込み, x=実行, a=属性変更

関連記事の目次