Edited at

auditについてインストールと簡単な利用方法のメモ。

More than 3 years have passed since last update.


はじめに


auditとは?

auditとはLinuxサーバで用いる監査ツールです。


どんなことができるの?

SELinuxのAVC拒否、システムログイン、アカウント変更、sudoなどを使った認証結果などを監査することができます。

・システムイベントの記録

・監査イベントの記録

・バックアップのチェック

・ログファイルの切り替え

・設定ファイルの変更チェック

etc...


導入

auditのインストールと設定について簡単に説明します。


1. パッケージインストール

RedHat系はyum、Debian系はapt-getでパッケージインストールができます。


Debian系

$ sudo apt-get install auditd



RedHat系

$ sudo yum install audit


※パッケージの指定がapt-getの場合はauditd、yumの場合はauditとなるので注意してください。


2. 構成

基本的にauditdは設定ファイル(auditd.conf)とルール定義ファイル(audit.rules)、ログ(audit.log)の3つから構成されます。

またこれらのファイルは、デフォルトで以下のパスに配置されます。

・設定ファイル:/etc/audit/auditd.conf

・ルール定義ファイル:/etc/audit/audit.rules

・ログ:/var/log/audit.log

ということでインストールができたので、とにかく利用してみましょう。


3. ルールの確認

まずは、ルールの確認です。


-lオプション

$ sudo auditctl -l

No rules

初期は何もルールが設定されていないので"No rules"となります。

それでは何か追加してみましょう。


4. ルールの追加


確認

$ sudo auditctl -a exit,always -F arch=b64 -S open -F path=/etc/resolv.conf


-a filter,action:指定したルールを追加します。filterでフィルタを指定し、actionで監査イベントを生成するかどうかを指定します。

ちなみに、-aでルールを末尾に追加、-Aでルールを先頭に追加です。

-F:監査イベントで抜き出すための条件式を定義します。

-S:システムコール名やシステムコール番号を指定します。allはワイルドカードです。

-k:監査イベントにラベルを付けてログを後から検索できるようにする場合に指定します。

詳しい内容はまた記載しませんが、これは"/etc/resolv.conf"をopenするのをチェックしています。

ルールの追加が完了したらもう一度確認コマンドを実行してみましょう。


-lオプション

$ sudo auditctl -l

LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/etc/resolv.conf syscall=open

ルールが追加されたのが確認できます。


5. ルールの削除

それでは追加したルールを今度は削除してみます。


削除

$ sudo auditctl -d exit,always -F arch=b64 -S open -F path=/etc/resolv.conf


-d:指定したルールを削除します。

それでは削除できているか確認します。


確認

$ sudo auditctl -l

No rules

一つしかルールがなかったので削除すると"No rules"になりました。


今回のまとめ

・auditはLinuxサーバで利用する監査ツール

・RedHat系はyum、Debian系はapt-getでパッケージインストールができる。

・パッケージインストールの指定はyumだとaudit、apt-getだとauditdになる。

auditctl -lでルールの確認

auditctl -aでルールの追加

auditctl -dでルールの削除

以上です。