使用auditd跟踪任何文件更改

Question

我尝试配置PCIREQ10.5.5“使用日志上的文件完整性监视或更改检测软件”

为此，使用auditd，规则"auditctl -w /tmp/testfile -p war“非常有效。

但是，如果我尝试使用stdout对文件进行重定向，比如"echo "hi“>> /tmp/testfile”行是附加的，但是在audit.log中没有任何更改。

有人知道如何使用auditd记录文件中的所有更改吗？

Answer 1

我刚在Centos 6.3上试了一下，得到了同样的结果。读取文件时，auditd被绊倒了，但是使用echo的附加文件却没有。

包括x似乎起作用了。将-p war更改为-p warx，看看这在Ubuntu上是否适用。

Answer 2

auditd确实捕捉到了对文件的更改，但它被记录为bash，生成一个syscall，不幸的是，它没有返回被更改的文件的可识别路径。

作为解决办法，对于监视文件的每条规则，我都将该文件包含在密钥名中。例如：

-w /etc/login.txt -p wa -k login.txt-modified

这样，就很容易找到用echo > login.txt触发的日志条目。“红帽”中有一个打开的bug：

https://bugzilla.redhat.com/show_bug.cgi?id=1204937

Answer 3

实际上我不会单独使用auditd来完成这个任务。对于与PCI和HIPAA兼容的系统，我使用auditd记录关键系统文件和函数的更改，但利用副官或绊线进行实际的文件完整性监视和报告。