Для начала необходимо установить auditd, находится на диске со средствами разработки
Command |
---|
sudo apt-get install |
Добавление правил обработки системных вызовов kill и exit_group
Есть два вариантаАктуальные правила обработки событий, которые автоматически включаются при запуске службы, хранятся в файле /etc/audit/audit.rules
Этот файл автоматически генерируется при запуске службы при запуске (рестарте) службы auditd из файлов /etc/audit/audit.d/*.rules
С помощью команды auditctl
Добавить правила обработки можно командой auditctl, например:
Command |
---|
auditctl -a exit,always -F arch=b64 -S kill -k kill_process |
Подробнее по параметрам:
-a exit,always определяет
событие и порядок регистрации, в данном случае событие exit
,и always означает что событие будет записываться всегда (вместо always можно указать newer, чтобы события не регистрировались);
-F arch=b64
определяет архитектуруфильтр, определяющий архитектуру подлежащую аудиту. Применим для переносимости настроек между разными архитектурами;
-S kill определяет имя отслеживаемого системного вызова, в данном случае системный вызов kill;
-k kill_process задает условное имя
ключа(ключ) для облегчения поиска записей о событии;
Информация |
---|
Добавленные с помощью команды auditctl правила будут действовать до перезапуска службы. |
С помощью файла /etc/audit/audit.
rulesВ него необходимо добавить
d/audit.rules
Постоянные правила обработки можно задать добавив в файл /etc/audit/audit.d/audit.rules строки, повторяющие ключи и параметры команды auditctl, как на примере выше:Блок кода |
---|
-a exit,always -F arch=b64 -S kill -k kill_process
-a exit,always -F arch=b64 -S exit_group -k kill_process |
После внесения изменений перезапустить службу:
Информация |
---|
sudo service auditd restart |
Отслеживание событий аудита
События аудита этого события можно отслеживать командой
Command |
---|
ausearch -k kill_process |
Или искать любыми средствами в файле /var/log/audit/audit.log