База знаний
Войти

Настройка правил аудита

Правила аудита — это инструкции для системы аудита, определяющие, какие события и действия пользователей или процессов должны подвергаться аудиту, т.е. логироваться. Они помогают отслеживать действия, связанные с безопасностью, и регистрировать важные изменения в Системе. Настройка правил аудита в ОС осуществляется с помощью утилиты auditctl, которая взаимодействует с сервисом auditd.

Правила задают условия и параметры для мониторинга определенных файлов, каталогов или системных вызовов. Эти правила могут быть установлены в реальном времени или загружены при запуске Системы из конфигурационных файлов.

Auditctl позволяет задать правила аудита в режиме реального времени. Эти правила действуют только до момента перезагрузки Системы. Чтобы обеспечить постоянную работу правил аудита при каждой загрузке ОС, их нужно сохранять в конфигурационных файлах.

Правила аудита хранятся в следующих файлах:

  • /etc/audit/audit.rules
  • /etc/audit/rules.d/*.rules

Файлы содержат инструкции, каждая строка которых представляет собой аргумент для команды auditctl. При запуске auditd из этих файлов загружаются все правила, обеспечивая автоматическое применение аудита без необходимости ручного ввода команд при каждом запуске Системы.

Пример строки в файле правил:

-w /etc/passwd -p wa -k passwd-file

Эта строка аналогична следующей команде, которая будет выполнена утилитой auditctl:

sudo auditctl -w /etc/passwd -p wa -k passwd-file

В данном примере параметры означают следующее:

  • -w /etc/passwd — указывает путь к файлу, который нужно отслеживать;
  • -p wa — устанавливает права мониторинга: w (изменение) и a (добавление);
  • -k passwd-file — добавляет метку (ключ) для поиска соответствующих событий в логах.

Рассмотрим основные типы параметров в правилах аудита:

  • -w (watch) — указывает на файл или каталог, который нужно отслеживать;
  • -p (permissions) — задает права доступа, за изменениями которых нужно следить. Доступные значения:
  • r — чтение файла;
  • w — запись в файл;
  • x — выполнение файла;
  • a — добавление информации в файл.
    • -k (key) — метка для фильтрации и поиска событий по ключу;
    • -S (syscalls) — отслеживание системных вызовов (например, open, execve);
    • -F (fields) — добавление дополнительных условий, таких как идентификатор пользователя (UID) или группы (GID);
    • -a (action) — определяет действие: добавление или удаление правила.

Для добавления правила аудита через командную строку можно использовать auditctl. Например, чтобы следить за изменениями в файле /etc/shadow, используется следующая команда:

sudo auditctl -w /etc/shadow -p wa -k shadow-file

Это правило будет активно до перезагрузки Системы.

Для удаления правил аудита используется параметр -d. Пример:

sudo auditctl -d -w /etc/shadow

Использование ключа поиска событий

Метка, установленная через параметр -k, позволяет легко находить события, связанные с этим ключом, в логах. Чтобы просмотреть события, связанные с конкретным правилом, можно использовать команду:

ausearch -k shadow-file

Для получения подробной справки по утилите ausearch, включая ключи поиска и другие опции, используется следующая команда:

man ausearch