我们有几台在Fedora 12下运行的机器,因为我们的产品全部都是分布式的,所以我们必须经常处理完全的重新安装。 我注意到有时在新安装后不久,一个/etc/rc3.d/S11auditd会变成几个小时,其余的在/etc/rc*.d中。 链接是有效的,它只是有更多的时间标记。 有时候会发生在/etc/rc5.d中,有时候根本不会发生。 这可能与我们的产品有关,但是我们对于每一台机器都有一个共同的部署stream程,而且我们不会因为审计系统而陷入困境,所以没有多大的意义。 我想知道,什么可能会触及这个链接,让它成为可能? UPD:在审计日志中find这一个: type=CONFIG_CHANGE msg=audit(21.04.2013 13:35:51.964:38128) : audit_backlog_limit=320 old=256 auid=unset ses=unset subj=kernel res=1 这一切都发生在重新启动后的初始化。 但不是所有的时间,而不是每台机器,这是奇怪的。 UPD2:它确实发生在每台机器上,但不是每次重启。 可能只有冷的。 仍然在挖…
当用户使用Auditctl注销Linux上的会话时,是否可以logging? 我目前与用户有关的audit.rules是: -w /etc/login.defs -p xwa -k login -w /etc/securetty -p xwa -k login -w /var/log/faillog -p xwa -k login -w /var/log/lastlog -p xwa -k login -w /var/log/tallylog -p xwa -k login -w /var/log/secure -p xwa -k login 我在/var/log中看不到任何明显的东西,我可以看,所以我认为这将需要更多的configuration?
几个星期前,我遇到了一个问题,我在大约300个节点的大型networking中更改了DNS地址。 之后,一些节点仍然继续询问旧的DNS服务器,尽piperesolv.conf正常,而host / nslookup正在查询新的DNS服务器。 看着tcpdump并试图用iptableslogging来logging请求,我确认了一些主机确实仍在向旧的名字服务器发送查询。 我把其中一个主机从生产中拿走,并开始closures服务/支撑过程,试图找出罪魁祸首。 最后 – 它是lldpd守护进程,在启动时明显caching了域名服务器,甚至没有注意到resolv.conf中的更改。 所以,我的问题是 – 是否有一个更聪明的方法来找出哪个PId产生特定types的stream量? 我尝试与auditctl,但没有太大的成功。 CentOS 6有问题,但是如果有任何Linux发行版的解决scheme,我将不胜感激。
监控linux系统调用并将其logging到文件的最快方法是什么? 这篇文章有一些很好的信息: https://security.stackexchange.com/questions/8485/monitoring-system-calls-in-a-reliable-and-secure-way?lq=1 看起来审计子系统是要走的路,问题是,当你监视所有的系统调用( auditctl -a exit,always -S all )你的操作系统变得太不知所措,一切工作缓慢。 在audit.rules增加缓冲区大小没有多大帮助。 有没有其他方式可以提供合理的性能,不会窒息操作系统? 我正在考虑编写我自己的内核模块,它将使用LSM api来挂钩系统调用。 你认为它会做得更好,审计子系统(使用许多filter/格式,可能会增加不必要的开销)
在我们的服务器上的一个registry项不断消失。 这些密钥包含我们的sophos avpipe理控制台的证书密钥,企业控制台的一部分在每次重新启动后都会停止工作(消息路由器是特定的)。 启用registry审核后,我们发现 C:\Windows\System32\wbem\WmiPrvSE.exe 编辑registry。 这里是完整的事件日志条目 Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: 19.03.2015 15:24:37 Ereignis-ID: 4657 Aufgabenkategorie:Registrierung Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Nicht zutreffend Computer: SERVER.domain.com Beschreibung: Ein Registrierungswert wurde geändert. Antragsteller: Sicherheits-ID: SYSTEM Kontoname: SERVER$ Kontodomäne: DOMAIN Anmelde-ID: 0x3e7 Objekt: Objektname: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private Name des Objektwerts: pkp Handle-ID: 0x1d8 Vorgangstyp: Der Registrierungswert wurde […]
我们有一个小型networking(大约150台桌面,大约20台服务器),其中大部分是Linux。 MS每隔3年左右就要对我们的MS产品进行审核。 我真的没有时间去80-90桌面,并抄下Win激活密钥,然后关联MS软件许可密钥。 有什么方法可以使用Active Directory获取这些信息? 也许使用PowerShell? 提前致谢。
我的目标:我想找出谁删除networking共享上的文件。 用户有时会抱怨说文件丢失了,像往常一样,其他的都是怪罪。 我为此networking共享启用了文件审核function。 如果我去事件查看器查看审计事件,我会看到大量的审计事件,有时来自同一用户的同一秒内超过100个,只有“ReadAttributes”或“ReadData(或ListDirectory)”。 (我假设search索引或类似) 我怎样才能禁用日志logging这个事件,所以他们不洪水我的事件日志? 我的解决方法是使用XMLfilter <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> * </Select> <Suppress Path="Security"> *[EventData[Data[@Name='AccessMask'] and (Data='0x80' or Data='0x1' or Data='0x81' or Data='0x20080' or Data='0x20089')]] </Suppress> </Query> </QueryList> 只显示更改和删除等重要日志。 安全日志中总是有28-29k个事件。 也许因为洪水,我只能看到最后几分钟的日志,而不是从1小时前或更长时间。 另外如果我使用XMLfilter。 例如,如果我运行 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='AccessMask'] and (Data='0x10000')]] </Select> </Query> </QueryList> 显示文件删除,我只看到像过去五分钟的。 如果十分钟之后我看到一个完全不同的输出,而不再是15分钟前删除的文件。 在日志中是否有最大数量的事件,如果已经达到,那么旧的会被删除? 档案? 我从哪里可以find一天前的日志? 总之,这使得审计日志通常只有在几天之后(如果不是几周的话)才会发现一个重要的文件被删除。 build议?
我正在一个有大量旧版客户端程序的环境中工作。 我想知道哪些程序使用什么存储过程。 有没有办法审查访问存储过程,而不必修改上述过程? 我可以确定每个过程访问的内容,并为底层对象添加审计触发器,但是有很多过程需要检查。 数据库用户和理想主机名的标识就足够了。 我看了一下FGA包,却看不到如何将其应用到程序中。 免责声明:我不是DBA,所以我的术语可能不准确。 提前道歉。
所以,我一直负责研究和部署某种networking审计软件。 所有这一切都需要做的就是能够定期(每24小时或其他)ping / TCP连接扫描一些内部/ 24networking,并发送一封电子邮件,如果一个新的主机被发现,或者如果以前存在主持人走了。 通过Perl hackery简单实现,但是Bossman想要一个shiny的Web界面(tm),并不是真的想为它付钱。 我和Zenoss玩过一段时间,但是好像用大锤去打一只家蝇。 你们是否知道任何可以做到的软件? 最好这将运行在一个Linux的盒子,但我不会过分挑剔在这一点上… 非常感谢!
当试图在文件系统对象上testingSACL创build时,我注意到它没有logging到事件日志中。 经过一番挖掘,我发现我必须翻转本地安全策略中的“主交换机”才能logging条目。 因此,我启用了“审核对象访问”的成功和失败日志logging。 但是,当我查看事件日志时,它被审计事件发送给我甚至没有启用的事件。 防火墙失败,\ Windows32文件访问,其他大量随机审计项目开始溢出到他们以前没有的安全日志中。 所以,我的问题是,Windows是否带有一组预定义的SACL,当你激活这个“Master Switch? 我可以得到他们的名单和/或select添加/删除他们?