User Tools

Site Tools


система_freebsd_audit

This is an old revision of the document!


Система FreeBSD Audit

http://www.freebsd.org/doc/ru/books/handbook/audit.html

Сценарий: отслеживаем неудачные попытки открыть файл на чтения для процессов пользователя nobody

Запуск системы аудита

По умолчанию настроена на протоколирование подключений под учетной записью root

# cat /etc/rc.conf
...
auditd_enable="YES"
# /etc/rc.d/auditd start

Настройка правил аудита событий

# cat /etc/security/audit_control
...
naflags:lo,aa,-fr
...
# cat /etc/security/audit_user
...
nobody:-fr:no
# /etc/rc.d/auditd restart

Генерация событий

Сервис INETD

# fetch -o - http://server.corpX.un/../../passwd

# fetch -o - http://server.corpX.un/../../etc/passwd

Поиск событий

# ls -l /var/audit/

# praudit /var/audit/current

# praudit /var/audit/current | grep -B 1 -A 1 nobody | less
система_freebsd_audit.1340699582.txt.gz · Last modified: 2013/05/22 13:50 (external edit)