| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
|
Установка пакетов
Для включения системы аудита требуется установить пакеты auditd и audispd-plugins.
Для
Astra Linux Common Edition эти пакеты доступны в репозитории, для
Astra Linux Special Edition в дополнение к основному диску необходимо подключить в качестве репозитория диск со средствами разработки.
После подключения нужных источников пакетов установка может быть выполнена с помощью графического менеджера пакетов (см. Графический менеджер пакетов synaptic) или из командной строки командами
| Command |
|---|
| sudo apt update sudo apt -y install auditd audispd-plugins |
Данная статья применима к:
Добавление правил обработки системных вызовов kill и exit_group
Актуальные правила обработки событий, которые автоматически включаются при запуске службы, хранятся в файле /etc/audit/audit.rules
Этот файл автоматически генерируется при запуске службы при запуске (рестарте) службы auditd из файлов /etc/audit/audit.d/*.rules
С помощью команды auditctl (режим отладки)
Добавить правила обработки можно командой auditctl, например:
| Command |
|---|
auditctl -a exit,always -F arch=b64 -S kill -k kill_process |
Подробнее по параметрам:
-a exit,always определяет событие и порядок регистрации, в данном случае правило попадает в список exit, а параметр always означает что событие будет записываться всегда (вместо always можно указать never, чтобы события не регистрировались)
Всего существует 5 списков:
task — события, связанные с созданием новых процессов;
entry — события, которые имеют место при входе в системный вызов;
exit — события, которые имеют место при выходе из системного вызова;
user — события, использующие параметры пользовательского пространства;
exclude — используется для исключения событий.
-F arch=b64 фильтр, определяющий архитектуру подлежащую аудиту. Применим для переносимости настроек между разными архитектурами;
-S kill определяет имя отслеживаемого системного вызова, в данном случае системный вызов kill;
-k kill_process задает условное имя (ключ) для облегчения поиска записей о событии;
| Информация |
|---|
| Добавленные с помощью команды auditctl правила будут действовать до перезапуска службы, поэтому данный способ можно использовать как режим отладки. |
С помощью файла /etc/audit/
ruilesrules.d/audit.rules
Постоянные правила обработки можно задать добавив в файл /etc/audit/rules.d/audit.rules строки, повторяющие ключи и параметры команды auditctl, как на примере выше:| Блок кода |
|---|
-a exit,always -F arch=b64 -S kill -k kill_process -a exit,always -F arch=b64 -S exit_group -k kill_process |
После внесения изменений перезапустить службу:
| Информация |
|---|
| sudo systemctl restart auditd |
Отслеживание событий аудита
События аудита можно отслеживать командой
| Command |
|---|
ausearch -k kill_process |
Или искать любыми средствами в файле /var/log/audit/audit.log