Автор Тема: Нужна помощь по утилите auditd  (Прочитано 1123 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Hyper-SA

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 18
Нужна помощь по утилите auditd
« : 07 Июнь 2018, 16:20:15 »
Нужна ваша помощь.

ОС: Linux 4.9.0-6-amd64 #1 SMP Debian 4.9.88-1 (2018-04-29) x86_64 GNU/Linux

Помогите пожалуйста разобраться:
Создаю правило # auditctl -w /etc/shadow -p wa
Данное правило помещается в фаил: audit.rules.prev
вместо: /etc/audit/audit.rules почему это происходит и как исправить.

ls -la /etc/audit/
итого 40
drwxr-x---   3 root root  4096 Май 26 10:49 .
drwxr-xr-x 131 root root 12288 Май 27 14:10 ..
-rw-r-----   1 root root   784 Апр 12  2017 auditd.conf
-rw-r-----   1 root root   103 Май 26 10:49 audit.rules
-rw-r-----   1 root root   103 Май 25 15:49 audit.rules~
-rw-r-----   1 root root   102 Май 26 10:49 audit.rules.prev
-rw-r-----   1 root root   127 Апр 12  2017 audit-stop.rules
drwxr-x---   2 root root  4096 Май 25 15:49 rules.d

Пробовал удалить:
-rw-r-----   1 root root   103 Май 25 15:49 audit.rules~
-rw-r-----   1 root root   102 Май 26 10:49 audit.rules.prev
После команды: service auditd restart
файлы возвращаются на место и правила находятся в
-rw-r-----   1 root root   102 Май 26 10:49 audit.rules.prev

Руками вносил правила в audit.rules после restart они удаляются из файла audit.rules
Деинсталировал полностью auditd

Почистил систему:
Выполнил команду:
# dpkg -l | awk '/^rc/ { print $2 }'
Перезагрузился, установил по новому
$ sudo apt-get install auditd
 все как и было прежде... правила по прежнему
создаются в папке: audit.rules.prev
Что я делаю не так...
Пробовал найти инфо про папку audit.rules.prev в офф.man не нашел.
 

Оффлайн qupl

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 5021
  • memento mori
  • Jabber: qupl@jabber.ru
Re: Нужна помощь по утилите auditd
« Ответ #1 : 08 Июнь 2018, 08:40:02 »
cat /etc/audit/audit.rules
auditctl -w /etc/shadow -p wa
service auditd restart
cat /etc/audit/audit.rules

Оффлайн Hyper-SA

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 18
Re: Нужна помощь по утилите auditd
« Ответ #2 : 08 Июнь 2018, 11:25:17 »
cat /etc/audit/audit.rules
## This file is automatically generated from /etc/audit/rules.d
-D
-b 8192
-f 1
--backlog_wait_time 0
===============================================
sudo auditctl -w /etc/shadow -p wa
sudo service auditd restart
sudo cat /etc/audit/audit.rules
## This file is automatically generated from /etc/audit/rules.d
-D
-b 8192
-f 1
--backlog_wait_time 0
===============================================
sudo ls -la /etc/audit/
итого 36
drwxr-x---   3 root root  4096 июн  8 11:10 .
drwxr-xr-x 131 root root 12288 июн  8 11:10 ..
-rw-r-----   1 root root   784 апр 12  2017 auditd.conf
-rw-r-----   1 root root   103 июн  8 11:10 audit.rules
-rw-r-----   1 root root   103 май 27 18:36 audit.rules~
-rw-r-----   1 root root   127 апр 12  2017 audit-stop.rules
drwxr-x---   2 root root  4096 июн  8 11:10 rules.d
===============================================
sudo cat /etc/audit/rules.d/audit.rules
## First rule - delete all
-D

## Increase the buffers to survive stress events.
## Make this bigger for busy systems
-b 8192

## This determine how long to wait in burst of events
--backlog_wait_time 0

## Set failure mode to syslog
-f 1
============================================
sudo cat /etc/audit/audit.rules
## This file is automatically generated from /etc/audit/rules.d
-D
-b 8192
-f 1
--backlog_wait_time 0
=============================================
sudo cat /etc/audit/audit.rules~
## This file is automatically generated from /etc/audit/rules.d
-D
-b 8192
-f 1
--backlog_wait_time 0
=============================================



 

Оффлайн qupl

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 5021
  • memento mori
  • Jabber: qupl@jabber.ru
Re: Нужна помощь по утилите auditd
« Ответ #3 : 08 Июнь 2018, 11:49:12 »
Как я понял, чтобы добавить правило, нужно ключ -a использовать у auditctl

Оффлайн Hyper-SA

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 18
Re: Нужна помощь по утилите auditd
« Ответ #4 : 08 Июнь 2018, 19:47:44 »
auditctl -a /etc/shadow -p wa
Append rule - bad keyword /etc/shadow
=================================
auditctl -A /etc/shadow -p wa
Add rule - bad keyword /etc/shadow
=================================
Не как не хочет...
 

Оффлайн qupl

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 5021
  • memento mori
  • Jabber: qupl@jabber.ru
Re: Нужна помощь по утилите auditd
« Ответ #5 : 10 Июнь 2018, 11:27:14 »
Не как не хочет...
Так Вы почитайте man, а не просто меняйте один ключ на другой. Там параметры у -a не простые, пара значений.  Либо, если знаете формат, вручную задайте в конфиге. Там даже в примерах в конце есть с /etc/shadow

Теги:
 

apt-build... Оченно нужна консультация!

Автор Mega.R.i.P.

Ответов: 2
Просмотров: 2605
Последний ответ 26 Март 2012, 18:37:19
от Mega.R.i.P.
Нужна перезагрузка после обновления?

Автор baf

Ответов: 12
Просмотров: 3009
Последний ответ 23 Июль 2014, 15:09:36
от baf
[Решено] Нужна libc6-i386 2.15, а в репозитории 2.11

Автор HoleyHat

Ответов: 18
Просмотров: 14452
Последний ответ 01 Февраль 2017, 23:55:13
от pleshner
Нужна консультация по установке двух видеокарт (могу немного заплатить)

Автор siberianwm

Ответов: 2
Просмотров: 1466
Последний ответ 03 Июнь 2015, 06:25:03
от ihammers
нужна помощь в восстановлении файла

Автор doublemint

Ответов: 4
Просмотров: 1133
Последний ответ 17 Август 2015, 00:37:52
от doublemint