EB
есть подозрение на байпас правил аудита
Size: a a a
2020 February 19
IB
Есть кто auditd хорошо понимает?
Что конкретно интересует?
EB
есть одно правило
EB
-w /etc/file -p wa -k filechanged
EB
при модификации файла через программы nano,rm,touch все логируется
EB
а при исподьзовании перенаправления вывода для записи файла, события нет
EB
root@vwa:~# auditctl -l
-w /etc/file -p wa -k filechanged
root@vwa:~# touch /etc/file
root@vwa:~# cat /var/log/audit/audit.log | grep filechanged
type=CONFIG_CHANGE msg=audit(1582126605.337:20301): auid=4294967295 ses=4294967295 op="add_rule" key="filechanged" list=4 res=1
type=SYSCALL msg=audit(1582126645.453:20329): arch=c000003e syscall=2 success=yes exit=3 a0=7ffec7d0ae7d a1=941 a2=1b6 a3=69f items=2 ppid=6868 pid=29054 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=495 comm="touch" exe="/bin/touch" key="filechanged"
root@vwa:~# echo "123" > /etc/file
root@vwa:~# cat /var/log/audit/audit.log | grep filechanged
type=CONFIG_CHANGE msg=audit(1582126605.337:20301): auid=4294967295 ses=4294967295 op="add_rule" key="filechanged" list=4 res=1
type=SYSCALL msg=audit(1582126645.453:20329): arch=c000003e syscall=2 success=yes exit=3 a0=7ffec7d0ae7d a1=941 a2=1b6 a3=69f items=2 ppid=6868 pid=29054 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=495 comm="touch" exe="/bin/touch" key="filechanged"EB
кто может проверить, что запись через перенаправление вывода не попадает в логи аудитд?
EB
echo "123" >>/etc/passwd сделайте)
IB
Проверю попозже
EB
стелс техника 90 уровня...
IB
Точно любые изменения через модуль FIM можно контролировать
IB
те же изменения паролей
EB
что такое FIM
EB
а все нашел
EB
а, про auditbeat читал
IB
Но этот не фиксирует источник изменений
EB
да клево, если проблема потвердиться придется искать альтернативы
EB
Но этот не фиксирует источник изменений
а что является источником?