「auditd」の版間の差分
提供: セキュリティ
| 行20: | 行20: | ||
</syntaxhighlight> | </syntaxhighlight> | ||
{{yum|auditd}} | {{yum|auditd}} | ||
| + | == 設定 == | ||
| + | === auditd の設定 === | ||
| + | Ubuntu は、 /etc/audit/auditd.conf です。 | ||
| + | {|class="wikitable" | ||
| + | |+ auditd.conf | ||
| + | ! 項目 | ||
| + | ! 説明 | ||
| + | |- | ||
| + | | log_file | ||
| + | | 監査ログの出力先 | ||
| + | |- | ||
| + | | log_format | ||
| + | | 監査ログの形式 | ||
| + | |- | ||
| + | | flush | ||
| + | | 監査ログをディスクに書き込むときの方法 | ||
| + | |- | ||
| + | | freq | ||
| + | |監査ログをディスクに書き込む頻度 | ||
| + | |- | ||
| + | |max_log_file | ||
| + | |監査ログの最大サイズの設定 | ||
| + | |- | ||
| + | |max_log_file_action | ||
| + | |監査ログが最大サイズになったときの動作の設定 | ||
| + | |- | ||
| + | |space_left | ||
| + | |最小のディスクサイズ | ||
| + | |- | ||
| + | |space_left_action | ||
| + | |ディスクが不足したときの動作 | ||
| + | |} | ||
| + | === システムコールの監視の条件の設定 === | ||
| + | Ubuntu は、 /etc/audit/audit.rules です。 | ||
| + | == ログファイル == | ||
| + | auditd の監査ログは、 /var/log/audit/autid.log です。 | ||
| + | {|class="wikitable" | ||
| + | |+ audit.rules | ||
| + | ! オプション | ||
| + | ! setumei | ||
| + | |- | ||
| + | | -D | ||
| + | | すべてのルールを削除します | ||
| + | |- | ||
| + | | -b サイズ | ||
| + | | Linux Audit の利用できるカーネル内のバッファサイズを設定します | ||
| + | |- | ||
| + | | -S システムコール名 | ||
| + | |監査ログを出力する[[システムコール]]を指定します | ||
| + | |- | ||
| + | | -F | ||
| + | |監査ログを出力する条件を指定します。条件は key=value 形式で指定します。演算子は = , !=, <, > などが利用できます。 | ||
| + | |- | ||
| + | | -k | ||
| + | |作成するルールに、そのルールを一意に特定できる名前を指定します | ||
| + | |- | ||
| + | | -w | ||
| + | | 監査するファイルを指定します。ファイルの変更などを関ししたい場合に利用します。 | ||
| + | |- | ||
| + | | -p | ||
| + | | 監査ログを取得するファイルアクセスパーミッションを指定します。書き込み時に関連する監査ログを取得する場合には、 w 、読み込み時には r, 実行時の場合は x , 属性が変更された場合は a を指定します。 | ||
| + | |} | ||
| + | === audit.rules の設定方法 === | ||
| + | ==== 64bit 環境の場合 ==== | ||
| + | <syntaxhighlight lang="bash"> | ||
| + | -F arch=b64 | ||
| + | </syntaxhighlight> | ||
| + | ==== socketシステムコールを監視する例 ==== | ||
| + | uid=10 のユーザが socket [[システムコール]] を実行したときに、監査ログを出力します。 | ||
| + | <syntaxhighlight lang="bash"> | ||
| + | -a exit,always -F arch=b64 -F uid=10 -S socket -k socket | ||
| + | </syntaxhighlight> | ||
| + | ==== /etc/passwd のファイルを監視する例 ==== | ||
| + | 以下の設定は、 ファイル [[/etc/passwd]] に対する | ||
| + | * 書き込み | ||
| + | * 属性の変更 | ||
| + | を行う [[システムコール]] 終了時に 監査ログ を出力します。 | ||
| + | <syntaxhighlight lang="bash"> | ||
| + | -a exit,always -F arch=b64 -w /etc/passwd -p wa -k passwd_watch | ||
| + | </syntaxhighlight> | ||
== 使い方 == | == 使い方 == | ||
| + | === ツール === | ||
| + | ;auditctl: [[auditd]]が「どの[[システムコール]]をフックするか」の設定を行います。 | ||
| + | ;aureport: 監査ログの統計情報を表示します。 | ||
| + | ;ausearch:監査ログから検索・表示します。 | ||
{{service|auditd}} | {{service|auditd}} | ||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
2015年12月19日 (土) 23:39時点における版
auditd とは、監査サービスデーモンです。
読み方
- auditd
- おーでぃっと でぃー
目次
概要
auditd とは、監査サービスデーモンです。
Linux Audit は、 Linuxカーネル のシステムコールなどのイベントを監視する機構です。Linux Audit を使用すると、システムコール が実行された状態をログに記録できます。システムがダウンした場合、攻撃を受けた場合に、原因の究明に役立ちます。
プロセス、カーネルやauditd の関係を以下に簡単に示します。
プロセス -システムコール-> カーネル -イベント-> auditd -イベント-> audispd -イベント-> IDS/IPS
auditdは、システムコールをフックして情報を取得します。auditdで取得したイベントは、audispd でほかのアプリケーションやネットワーク上のほかのノードに転送できます。 auditdは、イベントを監査ログ(Audit Log)として蓄積します。監査ログから情報を検索・表示するツールとして ausearch が提供されます。監査ログの統計情報を得るには aureport を利用します。auditdがどのシステムコールをフックするかは、 auditctl で指定します。
インストール
Ubuntu/Debinan 系
sudo apt install auditd
CentOSにインストールする場合
sudo yum -y install auditd
設定
auditd の設定
Ubuntu は、 /etc/audit/auditd.conf です。
| 項目 | 説明 |
|---|---|
| log_file | 監査ログの出力先 |
| log_format | 監査ログの形式 |
| flush | 監査ログをディスクに書き込むときの方法 |
| freq | 監査ログをディスクに書き込む頻度 |
| max_log_file | 監査ログの最大サイズの設定 |
| max_log_file_action | 監査ログが最大サイズになったときの動作の設定 |
| space_left | 最小のディスクサイズ |
| space_left_action | ディスクが不足したときの動作 |
システムコールの監視の条件の設定
Ubuntu は、 /etc/audit/audit.rules です。
ログファイル
auditd の監査ログは、 /var/log/audit/autid.log です。
| オプション | setumei |
|---|---|
| -D | すべてのルールを削除します |
| -b サイズ | Linux Audit の利用できるカーネル内のバッファサイズを設定します |
| -S システムコール名 | 監査ログを出力するシステムコールを指定します |
| -F | 監査ログを出力する条件を指定します。条件は key=value 形式で指定します。演算子は = , !=, <, > などが利用できます。 |
| -k | 作成するルールに、そのルールを一意に特定できる名前を指定します |
| -w | 監査するファイルを指定します。ファイルの変更などを関ししたい場合に利用します。 |
| -p | 監査ログを取得するファイルアクセスパーミッションを指定します。書き込み時に関連する監査ログを取得する場合には、 w 、読み込み時には r, 実行時の場合は x , 属性が変更された場合は a を指定します。 |
audit.rules の設定方法
64bit 環境の場合
-F arch=b64
socketシステムコールを監視する例
uid=10 のユーザが socket システムコール を実行したときに、監査ログを出力します。
-a exit,always -F arch=b64 -F uid=10 -S socket -k socket
/etc/passwd のファイルを監視する例
以下の設定は、 ファイル /etc/passwd に対する
- 書き込み
- 属性の変更
を行う システムコール 終了時に 監査ログ を出力します。
-a exit,always -F arch=b64 -w /etc/passwd -p wa -k passwd_watch
使い方
ツール
- auditctl
- auditdが「どのシステムコールをフックするか」の設定を行います。
- aureport
- 監査ログの統計情報を表示します。
- ausearch
- 監査ログから検索・表示します。
auditd の制御
auditd サービスの開始。
sudo service auditd start
auditd サービスの停止。
sudo service auditd stop
auditd サービスの再起動。
sudo service auditd restart