systemadmin.es > Seguridad > Limitaciones de audit

Limitaciones de audit

Tal y como vimos anteriormente, podemos usar audit para ver quien modifica ficheros o directorios:

# auditctl -w /root/example/tomcat/logs -k jorditest -p w
# touch /root/example/tomcat/logs/aa
# ausearch -i -k jorditest
----
type=CONFIG_CHANGE msg=audit(03/12/14 14:21:02.751:15181150) : auid=jordi op=add rule key=jorditest list=exit res=1 
----
type=PATH msg=audit(03/12/14 14:21:27.164:15181151) : item=1 name=/root/example/tomcat/logs/aa inode=526701 dev=08:01 mode=file,644 ouid=root ogid=root rdev=00:00 
type=PATH msg=audit(03/12/14 14:21:27.164:15181151) : item=0 name=/root/example/tomcat/logs/ inode=526700 dev=08:01 mode=dir,755 ouid=root ogid=root rdev=00:00 
type=CWD msg=audit(03/12/14 14:21:27.164:15181151) :  cwd=/root 
type=SYSCALL msg=audit(03/12/14 14:21:27.164:15181151) : arch=x86_64 syscall=open success=yes exit=0 a0=7fff29592c29 a1=941 a2=1b6 a3=3c24f5210c items=2 ppid=31864 pid=32587 auid=jordi uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=1611014 comm=touch exe=/bin/touch key=jorditest 

Pero nos podemos encontrar que ha desaparecido un directorio sin dejar rastro en el audit

Si movemos la estructura en lugar del propio directorio, no estamos modificando el directorio aunque lo cambiemos de lugar, por lo q no queda rastro:

# mv example otronombre
# ausearch -i -k jorditest
----
type=CONFIG_CHANGE msg=audit(03/12/14 14:21:02.751:15181150) : auid=atlasuser op=add rule key=jorditest list=exit res=1 
----
type=PATH msg=audit(03/12/14 14:21:27.164:15181151) : item=1 name=/root/example/tomcat/logs/aa inode=526701 dev=08:01 mode=file,644 ouid=root ogid=root rdev=00:00 
type=PATH msg=audit(03/12/14 14:21:27.164:15181151) : item=0 name=/root/example/tomcat/logs/ inode=526700 dev=08:01 mode=dir,755 ouid=root ogid=root rdev=00:00 
type=CWD msg=audit(03/12/14 14:21:27.164:15181151) :  cwd=/root 
type=SYSCALL msg=audit(03/12/14 14:21:27.164:15181151) : arch=x86_64 syscall=open success=yes exit=0 a0=7fff29592c29 a1=941 a2=1b6 a3=3c24f5210c items=2 ppid=31864 pid=32587 auid=jordi uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=1611014 comm=touch exe=/bin/touch key=jorditest 

Por lo que podemos dejar una estructura similar sin el directorio haciendo parecer que se ha borrado.

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>