Differences

This shows you the differences between two versions of the page.

--- система_linux_auditing [2025/05/19 07:25]
val [Рекомендованный набор правил]
+++ система_linux_auditing [2025/10/19 08:49] (current)
val [Система Linux Auditing]
@@ Line 3: / Line 3: @@
   * [[http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html|Linux audit files to see who made changes to a file]]
   * [[http://www.xakep.ru/post/54897/|Аудит системных событий в Linux]]
+  * [[https://encyclopedia.kaspersky.ru/glossary/security-operations-center-soc/|Центр мониторинга информационной безопасности (Security Operations Center, SOC)]]
 Сценарий: отслеживаем события чтения/записи/добавления в файлы passwd и shadow
@@ Line 104: / Line 106: @@
 -a exit,always -F arch=b64 -F euid=0 -S execve -k ssh_commands
 -a exit,always -F arch=b32 -F euid=0 -S execve -k ssh_commands
+# или с любыми правами, в том числе, через реверс шел
+-a exit,always -F arch=b64 -S execve -k all_commands
+-a exit,always -F arch=b32 -S execve -k all_commands
 </code>

Методические материалы Лохтурова Вячеслава