User Tools

Site Tools


система_freebsd_audit

Система FreeBSD Audit

Сценарий: отслеживаем неудачные попытки открыть файл на чтения для процессов пользователя user1

Запуск системы аудита

По умолчанию настроена на протоколирование подключений под учетной записью root

# cat /etc/rc.conf
...
auditd_enable="YES"
# /etc/rc.d/auditd start

Настройка правил аудита событий

# cat /etc/security/audit_control
...
naflags:lo,aa,-fr
...
# cat /etc/security/audit_user
...
user1:-fr:no
# /etc/rc.d/auditd restart

Генерация событий

Сервис INETD

# fetch -qo - http://server.corpX.un/../../etc/passwd

# fetch -qo - http://server.corpX.un/../../etc/master.passwd

Поиск событий

# ls -l /var/audit/

# praudit /var/audit/current

# praudit /var/audit/current | grep -B 2 -A 2 user1 | less
система_freebsd_audit.txt · Last modified: 2017/07/12 08:51 by val