Как настроить audd для записи всей активности из событий, которые запускаются с WinSCP
У меня есть требование от клиента (я понятия не имею, может ли оно быть выполнено после нескольких дней поиска). Это запрос: "Правила аудита должны быть расширены для событий (создание, удаление, обновление, изменение, переименование) независимо от пользователя. Я надеюсь, что затем я также увижу события, которые запускаются с WinSCP".
Моя конфигурация audd:
[root@host1~]# auditctl -l
-a always,exit -F arch=b64 -S execve -F euid=44055 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=44055 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2971 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2971 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2961 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2961 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=44057 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=44057 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2341 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2341 -F key=user-activity
-a always,exit -S oldlstat,swapon
-w /etc/group -p wa
-w /etc/passwd -p wa
-w /etc/shadow -p wa
-w /etc/sudoers -p wa
You have new mail in /var/spool/mail/root
Спасибо, С наилучшими пожеланиями, июль
1 ответ
Добавьте правило, чтобы посмотреть каталог, куда вы ожидаете, что пользователи будут загружать файлы.
-w /home -k home-events
Это будет рекурсивно наблюдать за всеми флагами open() для любого действия в /home. Может быть большой объем, в этом случае вы можете выбрать более конкретный каталог или использовать больше опций -F для фильтрации.
Если вы не заблокировали sftp/scp вниз, это будет не везде, где они могли бы загружать файлы, также есть /tmp.