User Tools

Site Tools


система_freebsd_audit

This is an old revision of the document!


Система FreeBSD Audit

Сценарий: отслеживаем неудачные попытки открыть файл на чтения для процессов пользователя nobody (или user1)

Запуск системы аудита

По умолчанию настроена на протоколирование подключений под учетной записью root

# cat /etc/rc.conf
...
auditd_enable="YES"
# /etc/rc.d/auditd start

Настройка правил аудита событий

# cat /etc/security/audit_control
...
naflags:lo,aa,-fr
...
# cat /etc/security/audit_user
...
user1:-fr:no
# /etc/rc.d/auditd restart

Генерация событий

Сервис INETD

# fetch -o - http://server.corpX.un/../../passwd

# fetch -o - http://server.corpX.un/../../etc/passwd

Поиск событий

# ls -l /var/audit/

# praudit /var/audit/current

# praudit /var/audit/current | grep -B 1 -A 1 nobody | less
система_freebsd_audit.1431496648.txt.gz · Last modified: 2015/05/13 08:57 by val