如何配置 auditd 来记录使用 WinSCP 运行的事件的所有活动

如何配置 auditd 来记录使用 WinSCP 运行的事件的所有活动

我有一个客户的要求(经过几天的搜索,我不知道是否可以实现)。这是请求:“审计日志规则应该扩展到独立于用户的事件(创建、删除、更新、更改、重命名)。我希望我也能看到使用 WinSCP 运行的事件。”

我的审计配置:

[root@host1~]# auditctl -l
-a always,exit -F arch=b64 -S execve -F euid=44055 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=44055 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2971 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2971 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2961 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2961 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=44057 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=44057 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2341 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2341 -F key=user-activity
-a always,exit -S oldlstat,swapon
-w /etc/group -p wa
-w /etc/passwd -p wa
-w /etc/shadow -p wa
-w /etc/sudoers -p wa
You have new mail in /var/spool/mail/root

谢谢,谨致问候,Jul

答案1

添加一条规则来监视您希望用户上传文件的目录。

 -w /home -k home-events

这将递归监视 /home 下的任何活动的所有 open() 标志。可能数量很大,在这种情况下您可以选择更具体的目录,或使用更多 -F 选项进行过滤。

除非您已经锁定 sftp/scp,否则这不是他们可以上传文件的每个地方,还有 /tmp。

相关内容