- Linuxマシンでauditログがあるものは、その検索や報告に関するユーティリティ機能を使えると便利です。具体は例えば、RH系のディストリビューションなら、以下のマニュアル参照。
- https://docs.redhat.com/ja/documentation/red_hat_enterprise_linux/9/html/security_hardening/auditing-the-system_security-hardening
(参考導入例)
- /var/www以下のディレクトリに書き込みが行われた場合に記録するコマンドやパスワード変更の記録コマンドを試してみる
- $ sudo auditctl -a always,exit -F arch=b64 -F dir=/var/www -F perm=wa -k dir_write
- $ sudo auditctl -a always,exit -F arch=b64 -F path=/etc/passwd -F perm=wa -k passwd_changes
- でauditctl listにルールが掲載されるかを確認
- $ sudo auditctl -l
- 読み込めてることを確認したら、適当なファイルを/var/wwwに作って下記で確認してみる
- $ sudo ausearch -k dir_write | sudo aureport -f
- 確認できたら成功なので、手動で入れたものはルールから一旦消してからルールに加筆する
- $ sudo auditctl -D
- $ sudo vi /etc/audit/rules.d/audit.rules
- -a always,exit -F arch=b64 -F dir=/var/www -F perm=wa -k dir_write
- -a always,exit -F arch=b64 -F path=/etc/passwd -F perm=wa -k
- これで再起動してauditctl -l して二つルールが入ってたらOK
- あとは、/var/log/audit/audit.log にこれらが加わってるので、logwatchで反映されるように調整する。
- あるいは、手動で上記の確認コマンド(下記再掲)で定期的に下記で目視確認する。
- $ sudo ausearch -k dir_write | sudo aureport -f