Scroll to navigation

AUDITCTL(8) Utilitare de administrare a sistemului AUDITCTL(8)

NUME

auditctl - un instrument care ajută la controlul sistemului de audit al nucleului

SINOPSIS

auditctl [optțiuni]

DESCRIERE

Programul auditctl este utilizat pentru a configura opțiunile nucleului legate de audit, pentru a vedea starea configurației și pentru a încărca reguli de audit discreționare.

OPȚIUNI DE CONFIGURARE

Stabilește numărul maxim (limita) de tampoane de audit restante permise (implicit în nucleu = 64). Dacă toate tampoanele sunt pline, nucleul consultă fanionul de eroare pentru a lua măsuri.
Stabilește timpul de așteptare al nucleului (implicit 60*HZ) atunci când se atinge limita de restanțe înainte de a pune în coadă mai multe evenimente de audit pentru a fi transferate către auditd. Numărul trebuie să fie mai mare sau egal cu zero și mai mic de 10 ori valoarea implicită.
Reinițializează contorul timpului de așteptare actual al jurnalelor-restante afișat de comanda de stare.
Continuă încărcarea regulilor în ciuda unei erori. Aceasta rezumă rezultatele încărcării regulilor. Codul de ieșire nu va fi de succes dacă vreuna dintre reguli nu se încarcă.
Şterge toate regulile şi monitorizările. Aceasta poate lua şi o opțiune cheie (-k).
Stabilește fanionul de activare. Când 0 este trecut, acesta poate fi utilizat pentru a dezactiva temporar auditarea. Când 1 este trecut ca argument, acesta va activa auditarea. Pentru a bloca configurația de audit astfel încât să nu poată fi modificată, treceți un 2 ca argument. Blocarea configurației este destinată să fie ultima comandă din audit.rules pentru oricine dorește ca această funcție să fie activă. Orice încercare de modificare a configurației în acest mod va fi auditată și respinsă. Configurația poate fi modificată numai prin repornirea mașinii.
Stabilește modul de eșec 0=silent 1=printk 2=panic. Această opțiune vă permite să determinați modul în care doriți ca nucleul să gestioneze erorile critice. Exemple de condiții în care acest mod poate avea efect includ: erori de transmisie către demonul de audit al spațiului utilizator, depășirea limitei de restanțe, memorie insuficientă a nucleului și depășirea limitei de viteză. Valoarea implicită este 1. Mediile securizate vor dori probabil să stabilească această valoare la 2.
Ajutor
Când este specificată singură, ignoră erorile la citirea regulilor dintr-un fișier. Acest lucru face ca auditctl să returneze întotdeauna un cod de ieșire de succes. Dacă este trecut ca argument pentru -s, atunci oferă o interpretare a numerelor în cuvinte inteligibile pentru persoane, dacă este posibil.
Această opțiune indică nucleului să facă loginuid-urile nemodificabile odată ce au fost stabilite. Modificarea loginuid-urilor necesită CAP_AUDIT_CONTROL. Prin urmare, nu este ceva ce poate fi făcut de utilizatori fără privilegii. Activarea acestei opțiuni face loginuid-urile inviolabile, dar poate cauza unele probleme în anumite tipuri de containere.
Dacă aveți un director existent supravegheat și legați sau mutați un alt sub-arbore în sub-arborele supravegheat, trebuie să indicați nucleului să facă sub-arborele montat echivalent cu directorul supravegheat. Dacă sub-arborele este deja montat în momentul emiterii supravegherii directorului, sub-arborele este automat marcat pentru supraveghere. Vă rugăm să rețineți virgula care separă cele două valori. Omiterea acesteia va provoca erori.
Stabilește limita în mesaje/secundă (0=niciuna). Dacă această valoare frecvența este diferită de zero și este depășită, nucleul consultă fanionul de eroare pentru a lua măsuri. Valoarea implicită este 0.
Reinițializează contorul de înregistrări pierdute afișat de comanda de stare.
Citește și execută comenzile auditctl dintr-un fișier. Comenzile sunt executate linie cu linie, în ordinea în care apar în fișier. Fișierul trebuie să aparțină utilizatorului root și să nu poată fi citit de alți utilizatori, altfel va fi respins. Liniile goale sunt omise. Liniile care încep cu caracterul „#” sunt tratate ca linii de comentarii. Fiecare linie este executată ca și cum ar fi fost furnizată lui auditctl ca argumente ale liniei de comandă. Deoarece auditctl este cel care citește fișierul și nu un shell precum bash, nu eludați caracterele speciale ale shell-ului. Consultați secțiunea EXEMPLE pentru un exemplu.
Trimite un semnal către demonul de audit. Pentru a face acest lucru, trebuie să aveți privilegii root. Semnalele acceptate sunt TERM, HUP, USR1, USR2, CONT
și versiunile ușor de utilizat stop, reload, rotate, resume, state.
Tunde sub-arborii după o comandă mount.

OPȚIUNI DE STARE

Listează toate regulile, câte una pe linie. Această comandă poate avea încă două opțiuni. Puteți specifica fie opțiunea cheie (-k) pentru a lista regulile care corespund unei chei, fie opțiunea (-i) pentru a interpreta a0 până la a3, în scopul de a determina dacă valorile argumentelor apelului de sistem sunt corecte.
Trimite un mesaj din spațiul utilizatorului în sistemul de audit. Acest lucru se poate face numai dacă aveți capacitatea CAP_AUDIT_WRITE (în mod normal, utilizatorul root are această capacitate). Evenimentul rezultat va fi de tip USER.
Raportează starea subsistemului de audit al nucleului. Acesta vă va indica valorile din nucleu care pot fi stabilite prin opțiunile -e, -f, -r și -b. Valoarea pid este numărul procesului demonului de audit. Rețineți că un pid de 0 indică faptul că demonul de audit nu rulează. Intrarea pierdută vă va indica câte înregistrări de evenimente au fost eliminate din cauza depășirii capacității cozii de audit a nucleului. Câmpul backlog (de restanțe) indică câte înregistrări de evenimente sunt în prezent în coadă, așteptând să fie citite de auditd. Această opțiune poate fi urmată de -i pentru a obține interpretarea câtorva câmpuri.
Imprimă versiunea lui auditctl.

OPȚIUNI REGULI

Adaugă regula la sfârșitul list cu action. Rețineți virgula care separă cele două valori. Omiterea acesteia va cauza erori. Câmpurile pot fi în orice ordine. Poate fi listă, acțiune sau acțiune, listă. Următoarele descriu numele din list valide:
Adaugă o regulă la lista pentru fiecare sarcină. Această listă de reguli este utilizată numai în momentul creării unei sarcini -- când fork() sau clone() sunt apelate de sarcina părinte. Când utilizați această listă, trebuie să utilizați numai câmpuri care sunt cunoscute în momentul creării sarcinii, cum ar fi uid, gid etc.
Adaugă o regulă la lista de ieșiri syscall. Această listă este utilizată la ieșirea dintr-un apel de sistem pentru a determina dacă trebuie creat un eveniment de audit.
Adaugă o regulă la lista de filtre pentru mesajele utilizatorilor. Această listă este utilizată de nucleu pentru a filtra evenimentele provenite din spațiul utilizatorului înainte de a le transmite către demonul de audit. Trebuie menționat că singurele câmpuri valide sunt: uid, auid, gid, pid, subj_user, subj_role, subj_type, subj_sen, subj_clr, msgtype și numele executabilului. Toate celelalte câmpuri vor fi tratate ca neconcordante. Trebuie înțeles că orice eveniment provenit din spațiul utilizatorului dintr-un proces care are CAP_AUDIT_WRITE va fi înregistrat în traseul de audit. Acest lucru înseamnă că cea mai probabilă utilizare a acestui filtru este cu reguli care au o acțiune de niciodată, deoarece nu trebuie făcut nimic pentru a permite înregistrarea evenimentelor.
Adaugă o regulă la lista de filtre de excludere a tipurilor de evenimente. Această listă este utilizată pentru a filtra evenimentele pe care nu dorți să le vedeți. De exemplu, dacă nu doriți să vedeți niciun mesaj avc, puteți utiliza această listă pentru a înregistra acest lucru. Evenimentele pot fi excluse în funcție de ID-ul procesului, ID-ul utilizatorului, ID-ul grupului, ID-ul utilizatorului conectat, tipul mesajului, contextul subiectului sau numele executabilului. Acțiunea este ignorată și utilizează valoarea implicită „never”.
Adaugă o regulă care va fi aplicată întregului sistem de fișiere. Sistemul de fișiere trebuie identificat cu un câmp fstype. În mod normal, acest filtru este utilizat pentru a exclude orice evenimente pentru un întreg sistem de fișiere, cum ar fi tracefs sau debugfs.
Adăugați o regulă la filtrul syscall io_uring. Regulile pentru acest filtru specifică operația syscall utilizând noțiunea -S syscall explicată mai jos. Puteți adăuga un câmp cheie la regulă, astfel încât aceasta să poată fi grupată cu alte reguli care monitorizează același syscall subiacent.

Următoarele descriu acțiunile actions valide pentru regulă:

Nu vor fi generate înregistrări de audit. Această opțiune poate fi utilizată pentru a suprima generarea evenimentelor. În general, este preferabil ca suprimările să se afle în partea de sus a listei, nu în partea de jos. Acest lucru se datorează faptului că evenimentul se declanșează la prima regulă care se potrivește.
Alocă un context de audit, îl completează întotdeauna la momentul intrării în apelul de sistem și scrie întotdeauna o înregistrare la momentul ieșirii din apelul de sistem.
Adaugă regula la începutul listei list cu acțiunea action.
Construiește o regulă de comparare între câmpuri: câmp, operație, câmp. Puteți transmite mai multe comparații într-o singură linie de comandă. Fiecare trebuie să înceapă cu -C. Fiecare ecuație între câmpuri este combinată cu celelalte, precum și cu ecuațiile care încep cu -F, pentru a declanșa o înregistrare de audit. Sunt acceptate 2 operatori: egal și diferit. Câmpurile valide sunt:

Cele două grupuri de uid și gid nu pot fi amestecate. Dar se poate face orice comparație în cadrul grupului. Câmpurile obj_uid/gid sunt colectate din obiectul evenimentului, cum ar fi un fișier sau un director.

Șterge regula din lista list cu acțiunea action. Regula este ștersă numai dacă se potrivește exact cu numele apelului de sistem și cu fiecare nume și valoare de câmp.
Construiește un câmp de regulă: nume, operație, valoare. Puteți avea până la 64 de câmpuri transmise într-o singură linie de comandă. Fiecare trebuie să înceapă cu -F. Fiecare ecuație de câmp este combinată cu celelalte (precum și ecuațiile care încep cu -C) pentru a declanșa o înregistrare de audit. Sunt acceptate 8 operatori - egal, inegal, mai mic decât, mai mare decât, mai mic sau egal și mai mare sau egal, mască de biți și test de biți. Testul de biți va combina valorile și va verifica dacă sunt egale, iar masca de biți va combina doar valorile. Câmpurile care acceptă un ID de utilizator pot avea în schimb numele utilizatorului; programul va converti numele în ID de utilizator. Același lucru este valabil și pentru numele de grup. Câmpurile valide sunt:
Respectiv, primele 4 argumente ale unui apel de sistem. Rețineți că argumentele de tip șir nu sunt acceptate. Acest lucru se datorează faptului că nucleului i se transmite un indicator către șir. Este puțin probabil ca declanșarea pe o valoare de adresă a indicatorului să funcționeze. Prin urmare, atunci când utilizați această funcție, ar trebui să o utilizați numai pe valori numerice. Este foarte probabil ca aceasta să fie utilizată pe platforme care multiplexează operațiuni de tip soclu sau IPC.
Arhitectura CPU a apelului de sistem. Arhitectura poate fi găsită executând comanda «uname -m». Dacă nu cunoașteți arhitectura mașinii dvs., dar doriți să utilizați tabelul de apeluri de sistem pe 32 de biți și mașina dvs. acceptă 32 de biți, puteți utiliza și b32 pentru arhitectură. Același lucru se aplică și tabelului de apeluri de sistem pe 64 de biți, puteți utiliza b64. În acest fel, puteți scrie reguli care sunt oarecum independente de arhitectură, deoarece tipul de familie va fi detectat automat. Cu toate acestea, apelurile de sistem pot fi specifice arhitecturii și ceea ce este disponibil pe x86_64 poate să nu fie disponibil pe ppc. Directiva arch trebuie să precede opțiunea „-S”, astfel încât auditctl să știe ce tabel intern să utilizeze pentru a căuta numerele apelurilor de sistem.
ID-ul original cu care s-a conectat utilizatorul. Este o abreviere de la audit uid. Uneori este denumit loginuid. Se poate utiliza fie textul contului de utilizator, fie numărul acestuia.
Numărul major al dispozitivului
Numărul minor al dispozitivului
Ruta completă a directorului de supravegheat. Aceasta va plasa o supraveghere recursivă asupra directorului și tuturor sub-arborilor acestuia. Poate fi utilizată numai pe lista de ieșire. A se vedea „-w”.
ID-ul grupului efectiv. Poate fi numeric sau numele grupului.
ID-ul utilizatorului efectiv. Poate fi numeric sau numele contului utilizatorului.
Ruta absolută către aplicația la care se va aplica această regulă în timpul executării. Acceptă operatorii = și !=. Rețineți că puteți utiliza această opțiune o singură dată pentru fiecare regulă.
Valoarea de ieșire dintr-un apel de sistem. Dacă codul de ieșire este o errno, puteți utiliza și reprezentarea text.
ID-ul grupului sistemului de fișiere. Poate fi numeric sau numele grupului.
Tipul sistemului de fișiere. Acesta este utilizat împreună cu lista de reguli ale sistemului de fișiere. Singurele valori acceptate sunt debugfs și tracefs.
ID-ul utilizatorului sistemului de fișiere. Poate fi numeric sau numele contului utilizatorului.
Tipul fișierului țintă. Poate fi file, dir, socket, link, character, block sau fifo.
ID-ul grupului. Poate fi numeric sau numele grupului.
Numărul nodului-i
Definește o cheie de filtrare pentru o regulă de audit. Cheia de filtrare este un șir de text arbitrar care poate avea o lungime de până la 31 de octeți. Aceasta poate identifica în mod unic înregistrările de audit generate de o regulă. Utilizarea tipică este atunci când aveți mai multe reguli care împreună satisfac o cerință de securitate. Valoarea cheii poate fi căutată cu ausearch, astfel încât, indiferent de regula care a declanșat evenimentul, puteți găsi rezultatele acestuia. Cheia poate fi utilizată și pentru ștergerea tuturor (-D) și listarea regulilor (-l) pentru a selecta reguli cu o cheie specifică. Puteți avea mai multe chei pe o regulă dacă doriți să puteți căuta evenimente înregistrate în mai multe moduri sau dacă aveți un plugin auditd care utilizează o cheie pentru a ajuta la analizare.
Aceasta este utilizată pentru a corela tipul de înregistrare al evenimentului. Aceasta trebuie utilizată numai în listele de excludere sau de filtrare a utilizatorilor.
UID-ul obiectului
GID-ul obiectului
Utilizatorul SE Linux al resursei
Rolul SE Linux al resursei
Tipul SE Linux al resursei
Nivelul inferior al resursei SE Linux
Nivelul superior al resursei SE Linux
Insereazăați o supraveghere pentru obiectul sistemului de fișiere la ruta. Nu puteți insera o supraveghere în directorul de nivel superior. Acest lucru este interzis de nucleu. Caracterele joker nu sunt acceptate și vor genera un avertisment. Supravegherile funcționează prin urmărirea internă a nodului-i. Aceasta poate fi utilizată numai pe lista de ieșire.
Filtru de permisiuni pentru operații cu fișiere. Furnizați tipul de acces pe care îl va declanșa un sistem de monitorizare a fișierelor. r=citire, w=scriere, x=executare, a=modificare atribut. Aceste permisiuni nu sunt permisiunile standard pentru fișiere, ci mai degrabă tipul de apel de sistem care ar face acest lucru. Apelurile de sistem de citire și scriere sunt omise din acest set, deoarece ar supraîncărca jurnalele. În schimb, pentru citiri sau scrieri, se verifică fanioanele de deschidere pentru a vedea ce permisiune a fost solicitată. Câmpul perm poate fi utilizat numai în lista de ieșire. Puteți utiliza acest lucru fără a specifica un apel de sistem, iar nucleul va selecta apelurile de sistem care satisfac permisiunile de acces solicitate. Acest lucru necesită, de asemenea, furnizarea unui parametru arch înainte de câmpul perm. În acest fel, nucleul poate determina mai bine ce apeluri de sistem sunt necesare. Nefurnizarea unui parametru arch va avea ca rezultat supunerea apelurilor de sistem all la audit. Acest lucru va reduce performanța sistemului.

Numărul personalității sistemului de operare
ID-ul procesului
ID-ul procesului părinte
Numărul familiei de adrese se găsește în /usr/include/bits/socket.h. De exemplu, IPv4 va fi 2, iar IPv6 va fi 10.
ID-ul sesiunii de conectare a utilizatorului
Utilizator SE Linux al programului
Rolul SE Linux al programului
Tipul SE Linux al programului
Sensibilitatea SE Linux a programului
Autorizarea SE Linux a programului
ID-ul grupului salvat. Consultați pagina de manual getresgid(2).
Dacă valoarea de ieșire este >= 0, aceasta este true/yes, în caz contrar este false/no. Când scrieți o regulă, utilizați 1 pentru true/yes și 0 pentru false/no.
ID-ul utilizatorului salvat. Consultați pagina de manual getresuid(2).
ID-ul utilizatorului. Poate fi numeric sau numele contului utilizatorului.
Definește o cheie de filtrare pentru o regulă de audit. Aceasta este depreciată atunci când este utilizată cu supravegheri. Convertește orice supravegheri în forma syscall a regulilor. Este încă valabilă pentru utilizarea cu reguli de ștergere sau listare.
Descrie tipul de acces la permisiuni pe care îl va declanșa supravegherea sistemului de fișiere. Această funcție este învechită. Convertiți supravegherile în forma syscall.
Se poate utiliza oricare dintre numele sau numărul apelului de sistem. Se poate utiliza și cuvântul „all”. Dacă apelul de sistem dat este efectuat de un program, atunci începe o înregistrare de audit. Dacă este specificată o regulă de câmp și nu este specificat niciun apel de sistem, se va utiliza implicit toate apelurile de sistem. De asemenea, puteți specifica mai multe apeluri de sistem în aceeași regulă utilizând mai multe opțiuni „-S” în aceeași regulă. Acest lucru îmbunătățește performanța, deoarece trebuie evaluate mai puține reguli. Alternativ, puteți transmite o listă de nume de apeluri de sistem separate prin virgule. Dacă utilizați un sistem bi-arch, cum ar fi x86_64, trebuie să știți că auditctl preia pur și simplu textul, îl caută pentru arhitectura nativă (în acest caz b64) și trimite regula respectivă către nucleu. Dacă nu există directive arch suplimentare, ACEASTA SE VA APLICA ATÂT SYSCALL-URILOR PE 32 DE BITI, CÂT ȘI CELOR PE 64 DE BITI. Acest lucru poate avea efecte nedorite, deoarece nu există nicio garanție că orice apel de sistem are același număr atât pe interfețele pe 32 de biți, cât și pe cele pe 64 de biți. Probabil veți dori să controlați acest lucru și să scrieți două reguli, una cu arhitectură egală cu b32 și una cu b64, pentru a vă asigura că nucleul găsește evenimentele pe care le doriți. Consultați discuția despre câmpul arhitectură pentru mai multe informații.
Plasează o monitorizare pe rută. Dacă ruta este un fișier, este aproape la fel ca utilizarea opțiunii „-F rută” într-o regulă syscall. Dacă monitorizarea este pe un director, este aproape la fel ca utilizarea opțiunii „-F dir” într-o regulă syscall. Forma „-w” de scriere a supravegherilor este pentru compatibilitate cu versiunile anterioare și este depreciată din cauza performanței slabe a sistemului. Convertiți supravegherile de această formă în forma bazată pe apel de sistem. Singurele opțiuni valide atunci când utilizați o supraveghere sunt „-p” și „-k”.
Elimină o supraveghere pentru obiectul sistemului de fișiere din rută. Regula trebuie să corespundă exact. Pentru mai multe informații, consultați discuția de la opțiunea -d.

SFATURI PENTRU PERFORMANȚĂ

Regulile syscall sunt evaluate pentru fiecare apel de sistem pentru fiecare program. Dacă aveți 10 reguli syscall, fiecare program din sistemul dvs. va întârzia în timpul unui apel de sistem, în timp ce sistemul de audit evaluează fiecare regulă. Prea multe reguli syscall vor afecta performanța. Încercați să combinați cât mai multe dintre ele ori de câte ori filtrul, acțiunea, cheia și câmpurile sunt identice. De exemplu:

auditctl -a always,exit -F arch=b64 -S openat -F success=0
auditctl -a always,exit -F arch=b64 -S truncate -F success=0

ar putea fi rescrisă ca o singură regulă:

auditctl -a always,exit -F arch=b64 -S openat -S truncate -F success=0

De asemenea, încercați să utilizați auditarea sistemului de fișiere ori de câte ori este posibil. Acest lucru îmbunătățește performanța. De exemplu, dacă doriți să capturați toate deschiderile și trunchierile eșuate, ca în exemplul de mai sus, dar vă interesează doar fișierele din /etc și nu vă interesează cele din /usr sau /sbin, puteți utiliza această regulă:

auditctl -a always,exit -F arch=b64 -S openat,truncate -F dir=/etc -F success=0

Aceasta va avea o performanță mai bună, deoarece nucleul nu o va evalua la fiecare apel de sistem. Va fi gestionată de codul de audit al sistemului de fișiere și verificată numai la apelurile de sistem legate de sistemul de fișiere.

EXEMPLE

Pentru a vedea toate apelurile de sistem efectuate de un program specific:

# După pid:
auditctl -a always,exit -S all -F pid=1005
# După ruta executabilului
auditctl -a always,exit -S all -F exe=/usr/bin/ls

Pentru a vedea fișierele deschise de un anumit utilizator:

auditctl -a always,exit -S openat -F auid=510

Pentru a vedea apelurile openat nereușite:

auditctl -a always,exit -S openat -F success=0

Pentru a urmări modificările unui fișier (2 moduri de exprimare):

auditctl -w /etc/shadow -p wa # Rețineți că acest lucru încetinește sistemul.
auditctl -a always,exit -F arch=b64 -F path=/etc/shadow -F perm=wa

Pentru a monitoriza recursiv un director în căutarea modificărilor (2 moduri de exprimare):

auditctl -w /etc/ -p wa # Rețineți că acest lucru încetinește sistemul.
auditctl -a always,exit -F arch=b64 -F dir=/etc/ -F perm=wa

Pentru a vedea dacă un administrator accesează fișierele altor utilizatori:

auditctl -a always,exit -F dir=/home/ -F uid=0 -C auid!=obj_uid

Acesta este un exemplu de fișier cu reguli:

# Elimină toate regulile existente
-D
# Nu înregistrează niciodată invocările sudo
-A exclude,always -F exe=/usr/bin/sudo

DEZACTIVAT ÎN MOD IMPLICIT

Pe multe sisteme, auditd este configurat să instaleze o regulă -a never,sarcina în mod implicit. Această regulă face ca fiecare proces nou să omită toate procesările regulilor de audit. Acest lucru se face de obicei pentru a evita o mică suprasarcină de performanță impusă de auditarea apelurilor de sistem. Dacă doriți să utilizați auditd, trebuie să eliminați această regulă ștergând 10-no-audit.rules și adăugând 10-base-config.rules în directorul regulilor de audit.

Dacă ați definit reguli de audit care nu se potrivesc atunci când ar trebui, verificați «auditctl -l» pentru a vă asigura că nu există nicio regulă never,task acolo.

FIȘIERE

/etc/audit/audit.rules /etc/audit/audit-stop.rules

CONSULTAȚI ȘI

audit.rules(7), ausearch(8), aureport(8), auditd(8).

AUTOR

Steve Grubb

TRADUCERE

Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>

Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE.

Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-ro@lists.sourceforge.net.

septembrie 2023 Red Hat