Примеры правил auditd

Первое, что следует сделать – настроить наблюдение за всеми конфигурационными и лог-файлами системы аудита.

Если взломщик сможет компрометировать один из них, он наверняка изменит поведение демона, и мы просто не сможем найти его следы.

nano /etc/audit/audit.rules

Наблюдение за конфигурационными файлами

-w /etc/audit/auditd.conf -p wa
-w /etc/audit/audit.rules -p wa
-w /etc/libaudit.conf -p wa
-w /etc/default/auditd -p wa

Наблюдение за журнальными файлами

-w /var/log/audit/
-w /var/log/audit/audit.log

Далее установим наблюдение за наиболее важными системными конфигурационными файлами.

Изменение хотя бы одного из них может привести к открытию дыры в безопасности системы, чего допустить нельзя. Обрати внимание, что некоторые файлы актуальны только для дистрибутивов Debian/Ubuntu!

nano /etc/audit/audit.rules

Настройки и задания at

-w /var/spool/at
-w /etc/at.allow
-w /etc/at.deny

Задания cron

-w /etc/cron.allow -p wa
-w /etc/cron.deny -p wa
-w /etc/cron.d/ -p wa
-w /etc/cron.daily/ -p wa
-w /etc/cron.hourly/ -p wa
-w /etc/cron.monthly/ -p wa
-w /etc/cron.weekly/ -p wa
-w /etc/crontab -p wa
-w /var/spool/cron/root

Файлы паролей и групп

-w /etc/group -p wa
-w /etc/passwd -p wa
-w /etc/shadow

Конфигурационные и журнальные файлы входа в систему

-w /etc/login.defs -p wa
-w /etc/securetty
-w /var/log/faillog
-w /var/log/lastlog