我尝试configurationPCI REQ 10.5.5“使用文件完整性监控或更改日志中的检测软件”
为此使用auditd,规则“auditctl -w / tmp / testfile -p war”完美地工作。
但是,如果我尝试使用标准输出redirect文件,如“回声”嗨“>> / tmp / testfile”行附加,但在audit.log中没有任何更改。
有谁知道如何使用auditdlogging文件中的所有变化?
我只是在Centos 6.3上试过,得到了同样的结果。 读取文件tripd审计,但追加使用回声没有。
包括x似乎工作。 将-p war更改为-p warx ,看看它是否适用于Ubuntu。
auditd并没有捕捉到文件的变化,但是它logging为bash,使系统调用不幸的是,没有可识别的path返回到已更改的文件。
作为一种解决方法,对于每个监视文件的规则,我将文件包含在密钥名称中。 例如:
-w /etc/login.txt -p wa -k login.txt-modified
这样,用echo > login.txt触发的日志条目将很容易find。 红帽有一个关于这个问题的漏洞:
我其实不会单独使用auditd。 对于我的PCI和HIPAA兼容系统,我使用auditd来logging关键系统文件和function的变化,但是利用AIDE或Tripwire来进行实际的文件完整性监控和报告。