Linux Audit

Exported from Notepad++
########################################## #Kommandos Info: “lynx http://reiber.org/nxt/bin/view/Linux/Kauditd” “auditctl -w /etc/passwd -p war -k password-file” = /etc/passwd aufzeichnen “auditctl -w /etc/shadow -k shadow-file -p rwxa” = Add a watch on “/etc/shadow” with the arbitrary filterkey “shadow-file” that generates records for “reads, writes, executes, and appends” on “shadow” “auditctl -W /etc/shadow -k shadow-file -p rwxa” = Regel löschen “auditctl -w / -p war -k root-filesystem” = Filesystem/Directroy Überwachen ( / root) “auditctl -w /home/dude/” = Ordner Überwachen “systemctl start auditd.service” = Audit Daemon starten “auditctl -l” = Regeln anzeigen “auditctl -D” = Alle Regeln löschen “auditctl -a always,exit -F arch=b64 -S execve -F euid=1000” = User mit ID 1000 überwachen 64 Bit binaries “auditctl -a always,exit -F arch=b32 -S execve -F euid=1000” = User mit ID 1000 überwachen 32 Bit binaries ########################################## #Config File Alle Systemcalls von “root” aufzeichnen (euid 0) “vi /etc/audit/audit.rules” -> #Nur root (id=0) syscalls loggen -a exit,always -F arch=b64 -F euid=0 -S execve -a exit,always -F arch=b32 -F euid=0 -S execve #Alle User syscalls loggen -a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve #shadow File überwachen -w /etc/shadow -k shadow-file -p rwxa #Verzeichnis beobachten -w /usr/ -p war -k usr-filesystem “vi /etc/audit/auditd.conf” -> num_logs = 99 #mehr als 99 ist nicht möglich ########################################## #Binaries auditd: daemon to capture events and store them (log file) auditctl: client tool to configure auditd audispd: daemon to multiplex events aureport: reporting tool which reads from log file (auditd.log) ausearch: event viewer (auditd.log) autrace: using audit component in kernel to trace binaries aulast: similar to last, but instaed using audit framework aulastlog: similar to lastlog, also using audit framework instead ausyscall: map syscall ID and name auvirt: displaying audit information regarding virtual machines “/sbin/auditd -n” = Audit Daemon [kauditd] ############################################ #Reports “ausearch -m LOGIN –start today -i” = alle Logins anzeigen “aureport –help” “aureport -x –summary” = Anzeigen welchen Binarys aufgerufen wurden “aureport –failed” = fehllogins anzeigen “aureport -f -i” = Dateizugriffe anzeigen “aureport -e -i –summary” = Events Zusammenfassung “ausearch -ts today -k shadow” = Zugriffe auf File (shadow) anzeigen von heute “ausearch -ua 0 | less” = Alles suchen was die User ID 0 hat (root) ausearch -ua 1002 | less = User mit ID 1002 “cat /var/log/audit/audit.log | grep -i “argc=2 a0=\”ps\” a1=\”-ef\”” ” = via GREP ein Audit filtern. “cat audit.log | grep -i uid=1002” = User (ID) filter. “auditd -f” = Config übersicht “augenrules –load” = Regel aus ruled.d laden ############################################ #Troubleshooting der Syslog Daemon sollte starten (Achtunng bei Docker Container) ############################################ vi /etc/pam.d/common-session -> #Ans Ende #session required pam_tty_audit.so disable=* enable=root #Nur User root session required pam_tty_audit.so enable=* #Alle User #session required pam_tty_audit.so enable=dude, apfel disbale=root #Nur User dude und apfel aber nicht root aureport –tty ############################################ ############################################ Audit Report per Email #!/bin/bash set -x auditctl -l >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -a >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -au >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport –comm >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -c >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -cr >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -e >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -f >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport –failed >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -h >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -i >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport –integrity >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -l >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -k >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -m >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -ma >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -n >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -p >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -r >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -s >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport –success >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -tm >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport –tty >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -u >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport –virt >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt aureport -x >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt ausearch -ua 1000 >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt ausearch -ua 1001 >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt echo -e “##########################\n##########################\n##########################” >> /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt mailx -s “Audit Report `date +%Y%m%d` `hostname`” -S from=”`date +%Y%m%d`-`hostname`@bit-devil.ddns.net” root@bit-devil.ddns.net < /var/log/audit_report_`date +%Y%m%d`_`hostname`.txt ############################################

Post Revisions: