我有一个客户的要求(经过几天的搜索,我不知道是否可以实现)。这是请求:“审计日志规则应该扩展到独立于用户的事件(创建、删除、更新、更改、重命名)。我希望我也能看到使用 WinSCP 运行的事件。”
我的审计配置:
[root@host1~]# auditctl -l
-a always,exit -F arch=b64 -S execve -F euid=44055 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=44055 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2971 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2971 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2961 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2961 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=44057 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=44057 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2341 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2341 -F key=user-activity
-a always,exit -S oldlstat,swapon
-w /etc/group -p wa
-w /etc/passwd -p wa
-w /etc/shadow -p wa
-w /etc/sudoers -p wa
You have new mail in /var/spool/mail/root
谢谢,谨致问候,Jul
答案1
添加一条规则来监视您希望用户上传文件的目录。
-w /home -k home-events
这将递归监视 /home 下的任何活动的所有 open() 标志。可能数量很大,在这种情况下您可以选择更具体的目录,或使用更多 -F 选项进行过滤。
除非您已经锁定 sftp/scp,否则这不是他们可以上传文件的每个地方,还有 /tmp。