Содержание

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »


Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6 (при наличии диска со средствами разработки)
  • ОС СН Ленинград 8.1 (при наличии диска со средствами разработки)

Для начала необходимо установить auditd, находится на диске со средствами разработки

sudo apt-get install auditd audispd-plugins
Далее добавить правила на системные вызовы kill и exit_group

Есть два варианта

  • С помощью команды auditctl

    auditctl -a exit,always -F arch=b64 -S kill -k kill_process

    auditctl -a exit,always -F arch=b64 -S exit_group -k kill_process

    Подробнее по параметрам:
    -a exit,always определяет список, куда попадет событие, в данном случае exit, always означает что событие будет записываться всегда
    -F arch=b64 определяет архитектуру
    -S kill определяет имя отслеживаемого системного вызова, в данном случае kill
    -k kill_process задает имя ключа для облегчения поиска

  • С помощью файла /etc/audit/audit.rules
    В него необходимо добавить строки, повторяющие ключи и параметры команды auditctl, как на примере выше

    -a exit,always -F arch=b64 -S kill -k kill_process
    -a exit,always -F arch=b64 -S exit_group -k kill_process

После этого события можно отслеживать командой

ausearch -k kill_process

Или искать любыми средствами в файле /var/log/audit/audit.log

  • No labels