可以修改auditd日誌嗎?(安全、shell監控)
我最近設置了 auditd 並啟用了 TTY 日誌記錄,這樣我就可以授予非 root shell 訪問權限並監控他們在做什麼。(值得我為他們提供越獄訪問權限,這是一項 cPanel 功能,限制他們只能訪問他們的使用者目錄。)
我已經正確設置了它,為了測試它,我正在執行
aureport --tty -i以查看所有使用者活動並ausearch -ul _username_ | aureport --tty -i過濾新帳戶的活動(在此命名_username_為假名)。在_username_帳戶上,我只執行了一些簡單的命令,例如cd和ls。我也將此與cat /home/_username_/.bash_history. 我每天都登錄以檢查更新,並且我確信我一直看到來自_username_上述基本命令的相同活動記錄。我知道我看到了這個活動,因為我記得我很困惑,aureport直到我退出後才看到它登錄。我不得不穀歌發現這是非根 TTY 日誌記錄的限制。所以肯定是在aureport幾天前。所以今天,我再次檢查,這次有新的活動
_username_。一些看起來很無害的命令。坦率地說,我希望擁有該帳戶的人有更多活動。然而,令我非常不安的是,之前沒有來自_username_. 我的原始測試命令不再由aureport.有沒有可能他們做得不好,以某種方式獲得了 root 訪問權限,並從中刪除了他們的歷史
auditd記錄,在此過程中不小心刪除了我的測試命令的歷史記錄?還有其他解釋嗎?
擴展我之前的評論:
而不是濫用,我希望您的日誌文件達到最大大小或事件發生時間超過 X 時間,並且最舊的條目被系統簡單地刪除。
大多數係統都配置了不會無限期保留日誌的預設值,並且打包程序通常包括日誌輪換插入腳本(in
/etc/logrotate.d),或者如果服務支持這樣的事情,則守護程序本身的日誌的年齡和/或大小限制。Auditd 屬於第二種類型。
檢查您
auditd.conf的目前設置以及man 5 auditd.conf所有支持的選項和預設值;例如您找到 的max_log_file和的設置。num_logs要回答您的問題的標題:
可以修改auditd日誌嗎?
是的:如果您授予人們管理員級別的訪問權限,他們通常可以修改您的整個系統。這就是為什麼將日誌事件複製到安全的遠端日誌伺服器是最佳實踐的原因。