当用户使用Auditctl注销Linux上的会话时,是否可以logging?
我目前与用户有关的audit.rules是:
-w /etc/login.defs -p xwa -k login -w /etc/securetty -p xwa -k login -w /var/log/faillog -p xwa -k login -w /var/log/lastlog -p xwa -k login -w /var/log/tallylog -p xwa -k login -w /var/log/secure -p xwa -k login
我在/var/log中看不到任何明显的东西,我可以看,所以我认为这将需要更多的configuration?
这非常依赖于你使用的操作系统/发行版:
Fedora 20和RHEL7使用systemd ,因此可以使用journalctl查看所有login/注销操作:
Jul 17 11:14:08 pris.crapsteak.org login[23256]: pam_unix(login:session): session opened for user root by LOGIN(uid=0) Jul 17 11:14:08 pris.crapsteak.org login[23256]: ROOT LOGIN ON tty2 Jul 17 11:14:26 pris.crapsteak.org login[23256]: pam_unix(login:session): session closed for user root
在RHEL6中,这些操作被logging到/var/log/auth.log 。
对于特定于auditdconfiguration,请查看Scott Pack对审计系统的详细介绍 ,从该文的示例configuration中可以看出:
-w /var/run/utmp -p wa -k session -w /var/log/wtmp -p wa -k session -w /var/log/btmp -p wa -k session
接下来的三个文件(utmp,wtmp,btmp)分别存储每个用户的当前login状态,login/注销历史logging和失败的login尝试。 因此,监控这些将使我们知道任何时候使用一个帐户,或login尝试失败,或更具体地说,每当这些文件被改变,其中将包括恶意覆盖的轨道。