systemadmin.es > audit

PAM: tty audit

Mediante pam_tty_audit podemos auditar lo que ocurren en una sesión, vamos a ver cómo habilitarlo

[...]
Leer mas »

Limitaciones de audit

Tal y como vimos anteriormente, podemos usar audit para ver quien modifica ficheros o directorios:

# auditctl -w /root/example/tomcat/logs -k jorditest -p w
# touch /root/example/tomcat/logs/aa
# ausearch -i -k jorditest
----
type=CONFIG_CHANGE msg=audit(03/12/14 14:21:02.751:15181150) : auid=jordi op=add rule key=jorditest list=exit res=1 
----
type=PATH msg=audit(03/12/14 14:21:27.164:15181151) : item=1 name=/root/example/tomcat/logs/aa inode=526701 dev=08:01 mode=file,644 ouid=root ogid=root rdev=00:00 
type=PATH msg=audit(03/12/14 14:21:27.164:15181151) : item=0 name=/root/example/tomcat/logs/ inode=526700 dev=08:01 mode=dir,755 ouid=root ogid=root rdev=00:00 
type=CWD msg=audit(03/12/14 14:21:27.164:15181151) :  cwd=/root 
type=SYSCALL msg=audit(03/12/14 14:21:27.164:15181151) : arch=x86_64 syscall=open success=yes exit=0 a0=7fff29592c29 a1=941 a2=1b6 a3=3c24f5210c items=2 ppid=31864 pid=32587 auid=jordi uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=1611014 comm=touch exe=/bin/touch key=jorditest 

Pero nos podemos encontrar que ha desaparecido un directorio sin dejar rastro en el audit

[...]
Leer mas »

Usar audit para ver quien borra un fichero

Mediante audit podemos definir acciones sobre ficheros o directorios que generarán un log en el sistema para poder a posteriori auditarlo, por ejemplo buscar qué procedo borra ficheros en un determinado directorio. Vamos a ver cómo usar auditctl y ausearch para dicho fin.

[...]
Leer mas »