我最近一直玩着审计,并试图削减它的一些logging。 这是我的audit.rules条目来loggingexecve # First rule – delete all -D -a always,exit -F arch=b64 -S execve -a always,exit -F arch=b64 -S vfork -a always,exit -F arch=b64 -S fork 这例如产生以下内容: type=SYSCALL msg=audit(1384889328.421:128620): arch={redacted} syscall={redacted} success={redacted} exit={redacted} a0={redacted} a1={redacted} a2={redacted} a3={redacted} items={redacted} ppid={redacted} pid={redacted} auid={redacted} uid={redacted} gid={redacted} euid={redacted} suid={redacted} fsuid={redacted} egid={redacted} sgid={redacted} fsgid={redacted} tty={redacted} ses={redacted} comm="{redacted}" exe="{redacted} type=EXECVE […]
这就是安全日志下的事件。 他们有很多。 有人试图蛮横迫使networking? 此服务器也被用作terminal服务服务器..感谢任何意见/帮助将不胜感激。 身份validation票证请求: User Name: rosu Supplied Realm Name: my domain User ID: – Service Name: krbtgt/my domain Service ID: – Ticket Options: 0x40810010 Result Code: 0x6 Ticket Encryption Type: – Pre-Authentication Type: – Client Address: 127.0.0.1 Certificate Issuer Name: Certificate Serial Number: Certificate Thumbprint: 现在,如果你注意到用户,对于每一个这样的事件..用户名的变化,他们似乎是所有按字母顺序尝试,如果我按datesorting..这里的IP是内部的这一个,但是对于大多数它是外部IP如213.88.247.2 ..似乎事件的源端口也在变化。 看看另一个: login失败: Reason: Unknown user name […]
我在审计日志中看到了sshd的奇怪条目: type=SECCOMP audit(1433519794.902:46): auid=20003 uid=22 gid=22 ses=21 pid=25136 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=102 compat=0 ip=0xb76c8aac code=0x0 type=SECCOMP msg=audit(1433785727.186:10262): auid=20003 uid=22 gid=22 ses=21 pid=11217 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=132 compat=0 ip=0xb7670aac code=0x0 任何人有任何想法发生了什么? 我的猜测是,OpenSSH为preauth分配了一个沙盒进程,而有人正试图在这个连接阶段执行系统调用( socketcall和getpgid )。 所有的联系似乎都来自韩国。
在Microsoft SQL Server中,我可以使用 GRANT EXECUTE TO <principal> 将执行权限授予某个用户或angular色。 我对检测感兴趣: 我怎样才能同样简单地检查GRANT EXECUTE命令是否已经应用到给定的用户/angular色? (由我或其他pipe理员) 例: 如果我使用GRANT EXECUTE TO user01并在几周后返回:是否有一个简单的方法来检查我(或其他人)是否已经使用GRANT EXECUTE TO user01 ?
我们最近开始在我们的Ubuntu服务器上使用auditd。 我们给出的例子audit.rules文件有一个这样的规则: -w /var/log/syslog -p wra -k logs 但是,当syslog写入文件时,没有任何内容被auditdlogging。 同样,如果我转到命令行并运行logger命令,系统日志文件将被写入而不会生成审计日志。 如果我通过使用编辑器直接更改文件或从命令行追加一行,它会被logging下来。 当然,我不希望在每次系统日志写入时都有一个审计日志,但是我有兴趣知道是什么原因导致这种情况发生,以及除syslog外还有其他什么情况,而这些情况可能在我不知情的情况下发生。 非常感谢你! 附加信息: testingaudit.rules文件: -D -b 8192 -f 1 -w /var/log/syslog -p wra -k logs auditctl -l和augenrules –check输出augenrules –check : # auditctl -l -w /var/log/syslog -p rwa -k logs # augenrules –check /sbin/augenrules: Rules have changed and should be updated 使用logging器: # logger "logger […]
我有一个在Windows 7工作站上设置审计帐户pipe理成功/失败的GPO。 RSOP 用户Acc被创build 任何想法可能会导致与logging事件这个问题?
我正在开发一个需要对各种文件进行读/写/修改审计的项目。 此外,我必须loggingftp访问,用户login,NTP /系统时间更改等。是否有一个很好的UNIX工具能够做到这一点,还允许我导出数据到一个很好的人类可读格式? 现在我正在使用标准的UNIX审计工具和ausearch命令等来监视文件事件。这个工作正常,但是它有很多guff,我不是特别想写脚本来parsing所有这些文件。 我也很喜欢用人们可读的格式来写东西,而不是在事后才parsing它。 鉴于我们的客户希望能够导出这些审计日志,并阅读它们的基本工具(networking浏览器/文本编辑器),我需要它是容易的眼睛。 对这个有帮助吗? 干杯。
我们在第三方应用程序表上有一个自定义触发器来帮助我们审核更改。 有时候这个触发器被删除了。 通过追踪显示,第三方应用程序正在放弃它(没有很好的理由)。 卖方承认,它“不时”这样做,以确保没有人用他们的数据库,不愿意改变他们的应用程序(可以理解)。 好吧,我明白了,但我们真的需要这个触发器。 有没有办法来禁止掉落触发到他们的应用程序login这个表/触发器? 我无法否认数据库上的ALTER,因为他们的应用程序确实创build/删除表。 谢谢!
祝你好日子。 我知道我的问题在这里有一些变化,但他们有点不同,我向你保证。 我们使用我们的pipe理员连接的terminal服务器,然后build立到其他服务器的ssh连接。 我们需要审计他们的行为,这就是为什么我使用修改后的ssh守护进程将会话logging到脚本格式文件中的原因。 我一直在使用该补丁http://www.kdvelectronics.eu/ssh-logging/ssh-logging.html 。 它有一些缺点,但。 首先,这个补丁没有更新一段时间,我已经设法修改它为ssh-4.7工作,但在第五版中openssh严重改变。 其次,几乎每个人都使用GNU Screen,其控制字符使会话日志有些难以理解。 然后我尝试了ttyrpld,但是它需要内核模块,过了一段时间就停止了logging。 之后,pam_tty_audit虽然很容易安装和使用,但是这个项目并不能真正解决我的问题。 我真正需要的东西,只logging用户input的东西,不能被覆盖,不需要火箭科学知识来安装和支持。
有什么特定的开源工具可以用来监视用户在Linux系统上做什么。 我有多个服务器,并与他们的一些用户访问。 我想监视哪个用户在什么时间运行哪些命令。 我希望从集中式服务器进行监控。 我知道tripwire,sysstat。 但是这些并不能满足我的要求。 请build议。 谢谢Ramesh