我最近设置了 auditd 并启用了 TTY 日志记录,这样我就可以向某些人提供非 root shell 访问权限并监视他们正在做的事情。(值得一提的是,我为他们提供了 jailshell 访问权限,这是一项 cPanel 功能,可限制他们仅访问其用户目录。)
我已经正确设置了它,为了测试它,我运行了aureport --tty -i以查看所有用户活动并ausearch -ul _username_ | aureport --tty -i过滤新帐户(此处命名为_username_,一个假名)的活动。在该_username_帐户上,我只运行了一些简单的命令,如cd和ls。我还将它与进行了比较cat /home/_username_/.bash_history。我每天都登录以检查更新,我确信我一直看到来自_username_上述基本命令的相同活动记录。我知道我看到了此活动,因为我记得我很困惑,直到我注销后才看到它登录aureport。我不得不用谷歌搜索才发现这是非 root TTY 日志记录的限制。所以它肯定是在aureport几天前。
所以今天我再次检查,这次有 的新活动_username_。一些看起来相当无害的命令。坦率地说,我原本以为拥有该帐户的人会有更多的活动。然而,令我非常不安的是, 之前没有活动记录_username_。 不再报告我最初的测试命令aureport。
他们是不是可能图谋不轨,以某种方式获得了 root 权限,并删除了他们的历史记录auditd,在此过程中意外删除了我的测试命令的历史记录?还有其他解释吗?
答案1
扩展我之前的评论:
我预计您的日志文件会达到最大大小,或者事件发生在 X 时间之前,而最旧的条目已被系统删除,而不是滥用。
大多数系统都配置了默认设置,不会无限期地保留日志,并且打包程序通常包含日志轮换插入脚本(在/etc/logrotate.d)或者如果服务支持这样的东西,则守护进程本身中的日志的年龄和/或大小限制。
Auditd 属于第二种。
检查您auditd.conf的当前设置以及man 5 auditd.conf所有支持的选项和默认值;例如您找到的max_log_file和num_logs的设置。
回答问题的标题:
审计日志可以被修改吗?
是的:如果你授予人们管理员级别的访问权限,他们通常可以修改你的整个系统。这就是为什么将日志事件复制到安全的远程日志服务器是最佳做法的原因。