我正在努力完成 AuditD 的以下任务
应该监视 /etc/passwd 的任何访问,无论是否使用 cat 或 sudo cat...好吧,简单。但我还应该阻止auditd记录任何其他不用于访问/etc/passwd的sudo命令
我现在完全迷失了。通过 -S execve 记录每个 sudo 命令很容易,但只有 sudo /etc/passwd 让我头疼。
答案1
审计日志中的字段auid准确地向您显示了这一点。您不需要execve为此审核呼叫。
auid - 记录审核用户 ID。该 ID 在用户登录时分配给用户,并且由每个进程继承,即使用户的身份发生更改(例如,通过使用 su -john 切换用户帐户)也是如此。
例如,在下面的行中,您可以看到 uid 是 root,但是奥伊德(运行 sudo 的原始用户)是 john。
$ ausearch -i -k passwd |grep cat
type=SYSCALL msg=audit(10/25/22 14:49:05.149:376) : arch=x86_64 syscall=openat success=yes exit=3 a0=0xffffff9c a1=0x7fffffffe268 a2=O_RDONLY a3=0x0 items=1 ppid=10413 pid=10418 auid=john uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts8 ses=21750 comm=cat exe=/usr/bin/cat subj==unconfined key=passwd
如果您错过了,相关部分是:auid=john uid=root