FreeBSD：ファイルとフォルダを開いたり、読み込んだり、移動したり、削除したり、変更したりしたときに監査を使用して記録する方法は？

Question

説明16.3。監査の構成実際には非常に明確でポイントがあります。あなたはあなたが試して学んだことを説明することなく質問をします。しかし、段階的に案内してみましょう。一般的に言えば、他のサービスと同様にサービスを開始するだけです。出力を確認してください。その後、適切に変更します。

まず、監査サブシステムを起動する方法のセクションに従います。

sysrc auditd_enable=YES

サービスを開始します。

service auditd start

本当に簡単です！これで、システムで監査が実行されています。それでは、見てみましょう。16.3.2.1. audit_controlファイル:

dir:/var/audit
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

dirとを記録してくださいflags。まず、/var/audit指定されたディレクトリを見てくださいdir。auditd実行すると、2つの新しいファイルが表示されます。日付で指定されたアクティビティログファイル.not_terminatedと名前current。ここにログが保存されます。このファイルを参照すると、バイナリ形式であることがわかります。それでは、トリックを使って次の章を見てみましょう。16.4。監査証跡の使用。これは、私たちがprauditプレーンテキストを取得するために使用したものを示しています。システムに再度ログインし、次のコマンドを使用して記録される方法を確認します。

praudit /var/audit/current

次のようになります。

header,56,11,audit startup,0,Thu May 23 16:18:46 2019, + 609 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,97,11,OpenSSH login,0,Thu May 23 16:21:03 2019, + 443 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,successful login clan
return,success,0
trailer,97
header,92,11,logout - local,0,Thu May 23 16:21:15 2019, + 90 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,sshd logout clan
return,success,0
trailer,92

まず、auditdの始まりを見てください。これにより、ログインした外観を見ることができます。その後、ログアウトしてください。

これでレビューシステムが利用できることを確認しました。その後、特定の要件を確認します。あなたは以下を要求します：

開く、読み取り、移動、削除、または変更

それではテーブルを見てみましょうか？16.3.1.イベント選択表現最も関連性の高いアイテムを探してください。

fr  file read   Audit events in which data is read or files are opened for reading.
fw  file write  Audit events in which data is written or files are written or modified.
cl  file close  Audit calls to the close system call.

おそらくあなたは次に興味があるでしょう：

fa  file attribute access   Audit the access of object attributes such as stat(1) and pathconf(2).
fc  file create Audit events where a file is created as a result.
fd  file delete Audit events where file deletion occurs.

flagsこの知識に基づいて、以下を設定できます/etc/security/audit_control。

flags:fr,fw,cl,fa,fc,fd

またはデフォルト値を維持したい場合：

flags:lo,aa,fr,fw,cl,fa,fc,fd

必要なものをすべて取得できなかったと思われる場合は、all必要なイベントクラスを確認してください。

flags:all

auditd変更を適用するには再起動してください。

service auditd restart

これまで、これはシステム全体にわたって行われました。調停を特定のユーザーに制限するには、次の手順を実行します/etc/security/audit_user。

sambauser:fr,fw,cl,fa,fc,fd:no

これをさらに細かく調整し、成功イベントまたは失敗イベントのみを希望するかどうかを指定することもできます。

男を覚えて

FreeBSDには一般的にかなり良いドキュメントがあることに注意してください。すでに参照されているFreeBSDマニュアルに加えて、次の優れたツールがありますman。

man auditd
man audit_config
man praudit

マニュアルページは最新の状態であり、貴重で簡単にアクセスできるシステム情報がたくさん含まれています。必要に応じてブラウザを使用できます。オンライン

Answer 1

説明16.3。監査の構成実際には非常に明確でポイントがあります。あなたはあなたが試して学んだことを説明することなく質問をします。しかし、段階的に案内してみましょう。一般的に言えば、他のサービスと同様にサービスを開始するだけです。出力を確認してください。その後、適切に変更します。

まず、監査サブシステムを起動する方法のセクションに従います。

sysrc auditd_enable=YES

サービスを開始します。

service auditd start

本当に簡単です！これで、システムで監査が実行されています。それでは、見てみましょう。16.3.2.1. audit_controlファイル:

dir:/var/audit
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

dirとを記録してくださいflags。まず、/var/audit指定されたディレクトリを見てくださいdir。auditd実行すると、2つの新しいファイルが表示されます。日付で指定されたアクティビティログファイル.not_terminatedと名前current。ここにログが保存されます。このファイルを参照すると、バイナリ形式であることがわかります。それでは、トリックを使って次の章を見てみましょう。16.4。監査証跡の使用。これは、私たちがprauditプレーンテキストを取得するために使用したものを示しています。システムに再度ログインし、次のコマンドを使用して記録される方法を確認します。

praudit /var/audit/current

次のようになります。

header,56,11,audit startup,0,Thu May 23 16:18:46 2019, + 609 msec
text,auditd::Audit startup
return,success,0
trailer,56
header,97,11,OpenSSH login,0,Thu May 23 16:21:03 2019, + 443 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,successful login clan
return,success,0
trailer,97
header,92,11,logout - local,0,Thu May 23 16:21:15 2019, + 90 msec
subject_ex,clan,clan,clan,clan,clan,82938,82938,57698,212.60.115.22
text,sshd logout clan
return,success,0
trailer,92

まず、auditdの始まりを見てください。これにより、ログインした外観を見ることができます。その後、ログアウトしてください。

これでレビューシステムが利用できることを確認しました。その後、特定の要件を確認します。あなたは以下を要求します：

開く、読み取り、移動、削除、または変更

それではテーブルを見てみましょうか？16.3.1.イベント選択表現最も関連性の高いアイテムを探してください。

fr  file read   Audit events in which data is read or files are opened for reading.
fw  file write  Audit events in which data is written or files are written or modified.
cl  file close  Audit calls to the close system call.

おそらくあなたは次に興味があるでしょう：

fa  file attribute access   Audit the access of object attributes such as stat(1) and pathconf(2).
fc  file create Audit events where a file is created as a result.
fd  file delete Audit events where file deletion occurs.

flagsこの知識に基づいて、以下を設定できます/etc/security/audit_control。

flags:fr,fw,cl,fa,fc,fd

またはデフォルト値を維持したい場合：

flags:lo,aa,fr,fw,cl,fa,fc,fd

必要なものをすべて取得できなかったと思われる場合は、all必要なイベントクラスを確認してください。

flags:all

auditd変更を適用するには再起動してください。

service auditd restart

これまで、これはシステム全体にわたって行われました。調停を特定のユーザーに制限するには、次の手順を実行します/etc/security/audit_user。

sambauser:fr,fw,cl,fa,fc,fd:no

これをさらに細かく調整し、成功イベントまたは失敗イベントのみを希望するかどうかを指定することもできます。

男を覚えて

FreeBSDには一般的にかなり良いドキュメントがあることに注意してください。すでに参照されているFreeBSDマニュアルに加えて、次の優れたツールがありますman。

man auditd
man audit_config
man praudit

マニュアルページは最新の状態であり、貴重で簡単にアクセスできるシステム情報がたくさん含まれています。必要に応じてブラウザを使用できます。オンライン

FreeBSD：ファイルとフォルダを開いたり、読み込んだり、移動したり、削除したり、変更したりしたときに監査を使用して記録する方法は？

ベストアンサー1

男を覚えて

おすすめ記事