Differences

This shows you the differences between two versions of the page.

--- система_linux_auditing [2016/08/01 16:36]
val [Настройка правил аудита событий]
+++ система_linux_auditing [2025/10/19 08:49] (current)
val [Система Linux Auditing]
@@ Line 3: / Line 3: @@
   * [[http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html|Linux audit files to see who made changes to a file]]
   * [[http://www.xakep.ru/post/54897/|Аудит системных событий в Linux]]
+  * [[https://encyclopedia.kaspersky.ru/glossary/security-operations-center-soc/|Центр мониторинга информационной безопасности (Security Operations Center, SOC)]]
 Сценарий: отслеживаем события чтения/записи/добавления в файлы passwd и shadow
@@ Line 15: / Line 17: @@
 # auditctl -w /etc/passwd -p rwa -k passwords-files
 # auditctl -w /etc/shadow -p rwa -k passwords-files
+# auditctl -l
 # cat /etc/audit/audit.rules
+ubuntu24/debian12# cat /etc/audit/rules.d/audit.rules
 </code><code>
 ...
@@ Line 39: / Line 44: @@
 # ausearch -k passwords-files
+</code>
+===== Дополнительные материалы =====
+==== Рекомендованный набор правил ====
+<code>
+# cat /etc/audit/rules.d/soc.rules
+</code><code>
+# Аудит входа/выхода пользователей
+-w /var/log/faillog -p wa -k logins
+-w /var/run/faillock -p wa -k logins
+# Контроль за изменениями пользователей и групп
+-w /etc/passwd -p wa -k usermod
+-w /etc/group -p wa -k groupmod
+-w /etc/shadow -p wa -k shadowmod
+-w /etc/gshadow -p wa -k gshadowmod
+# Контроль за добавление/удаление пользователей
+-w /usr/sbin/useradd -p x -k user_add
+-w /usr/sbin/userdel -p x -k user_del
+-w /usr/sbin/usermod -p x -k user_mod
+# Аудит изменений прав доступа к файлам
+-a always,exit -F arch=b64 -S chmod,fchmod,fchmodat -F auid>=1000 -F auid!=4294967295 -k perm_mod
+-a always,exit -F arch=b32 -S chmod,fchmod,fchmodat -F auid>=1000 -F auid!=4294967295 -k perm_mod
+# Аудит использования команд sudo
+-a always,exit -F path=/usr/bin/sudo -F perm=x -k sudo_usage
+# контроль за изменением sudoers
+-w /etc/sudoers -p wa -k priv_change
+-w /etc/sudoers.d/ -p wa -k priv_change
+# Аудит изменения времени системы
+-a always,exit -F arch=b64 -S adjtimex,settimeofday -k time_change
+-a always,exit -F arch=b32 -S adjtimex,settimeofday -k time_change
+# контроль за изменениями /etc/passwd, /etc/shadow, /etc/group и /etc/gshadow
+-w /etc/passwd -p wa -k identity
+-w /etc/shadow -p wa -k identity
+-w /etc/group -p wa -k identity
+# Контроль за изменениями системных конфигурационных файлов
+-w /etc/sysctl.conf -p wa -k sysctl
+-w /etc/hosts -p wa -k network
+-w /etc/resolv.conf -p wa -k dns
+-w /etc/gshadow -p wa -k identity
+# Контроль за изменениями изменение правил iptables
+-w /sbin/iptables -p x -k firewall
+-w /sbin/ip6tables -p x -k firewall
+-w /usr/sbin/nft -p x -k firewall
+-w /etc/firewalld -p wa -k firewall
+# Контроль за изменением файлов SSH
+-w /etc/ssh/sshd_config -p wa -k sshd_config
+# Логирование команд, выполненных с правами root
+-a exit,always -F arch=b64 -F euid=0 -S execve -k ssh_commands
+-a exit,always -F arch=b32 -F euid=0 -S execve -k ssh_commands
-# ausearch -f /etc/passwd -i
+# или с любыми правами, в том числе, через реверс шел
+-a exit,always -F arch=b64 -S execve -k all_commands
+-a exit,always -F arch=b32 -S execve -k all_commands
 </code>

Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Differences

Page Tools