Вопрос или проблема
У меня есть несколько событий USER_CHAUTHTOK в журнале AuditD, таких как этот
4 дек 12:50:40 v-stand-05 audispd: node=10.10.0.1 type=USER_CHAUTHTOK msg=audit(1733305840.550:51890): pid=6965 uid=0 auid=1111 ses=1214 subj=unconfined msg='op=adding user to group acct="user" exe="/usr/sbin/usermod" hostname=host1 addr=? terminal=pts/0 res=success' UID="root" AUID="user2"
Я вижу, что user был добавлен в группу, но нет идентификатора группы или имени группы. Могу ли я настроить правила AuditD или формат сообщения, чтобы добавить какую-либо информацию о группе?
Ответ или решение
Как добавить идентификатор группы в событие USER_CHAUTHTOK в AuditD
AuditD — это важный инструмент для соблюдения безопасности и мониторинга действий в системе. Ваша проблема заключается в том, что в журналах AuditD отсутствует информация о группе при регистрации событий типа USER_CHAUTHTOK. Это может затруднить отслеживание изменений в групповых членствах пользователей, что, в свою очередь, затрудняет аудит и соблюдение внутренней безопасности.
Описание проблемы
Событие USER_CHAUTHTOK, как показывает ваш лог, фиксирует момент добавления пользователя в группу с использованием команды /usr/sbin/usermod. Однако вы не видите идентификатор группы (GID) или название группы, что создает пробелы в информации, важной для последующего анализа.
Возможные решения
-
Изменение конфигурации AuditD:
Для того чтобы аудит записывал подробную информацию о группах, необходимо настроить правила AuditD так, чтобы они включали GID. В основном, это делается с помощью командыauditctl. Например:auditctl -a always,exit -F arch=b64 -S setgid -S setgroups -k user_group_modificationЭто правило будет регистрировать все изменения связанных с добавлением пользователя в группы и сохранит их с уником ключом
user_group_modification. -
Использование
ausearchдля извлечения информации:
Кроме изменения правил, можно воспользоваться утилитойausearchдля фильтрации и получения информации о добавлении пользователей в группы. Например:ausearch -k user_group_modificationЭто позволит вам вывести все события, связанные с изменениями в членстве пользователей.
-
Модификация самого скрипта
usermod:
Если вы готовы вносить изменения в сами утилиты командной строки, что может быть рискованным решением, вы можете добавить вывод GID в параметрauditв самом скриптеusermod. Однако это может привести к нежелательным последствиям, и мы не рекомендуем его. -
Создание собственных скриптов для логирования:
Если стандартных возможностей AuditD недостаточно, можно написать собственный скрипт, который будет вызываться при добавлении пользователя в группу. Этот скрипт может дополнительно фиксировать GID и сохранять логи в отдельном файле.
Рекомендации по добавлению информации о группе
Важно понимать, что вы можете дорабатывать правила AuditD, чтобы они включали больше информации о группах. Но изменения должны быть продуманы и протестированы, чтобы не вызвать избыточного логирования или упущения важной информации. Рекомендуем активно тестировать каждое новое правило в среде, близкой к производственной, прежде чем применять его на живом сервере.
Заключение
Добавление идентификатора группы в AuditD может значительно улучшить понимание аудита и повысить уровень безопасности в вашей системе. Рекомендуется использовать комбинацию правил AuditD, ausearch и, возможно, кастомизированных скриптов для достижения наилучших результатов. Таким образом, вы сможете эффективно отслеживать изменения в группах пользователей и обеспечить надежный контроль безопасности в ваших системах.
С изучением и реализацией вышеописанных шагов, ситуация с недостатком информации о группах в событиях AuditD будет решена, что сделает ваш аудит более полным и информативным.