GNU/Linux >> Linux Esercitazione > >> Cent OS

Come escludere un file/una directory dalle regole di auditd

auditd è un componente dello spazio utente del sistema di auditing Linux. Ciò significa che gli utenti del sistema potranno eseguire auditd per configurare regole e avvisi per la funzionalità di controllo con il sistema Linux. Una delle cose migliori di auditd è che è strettamente integrato con il kernel, quindi ci dà il potere di monitorare quasi tutto ciò che vogliamo, davvero.

Per consentire agli utenti di vedere cosa sta succedendo, auditd può registrare tutti gli eventi relativi all'audit su un disco e possiamo utilizzare vari strumenti come ausearch o aureport per esaminare i file di registro. Per impostazione predefinita, non ci sono regole configurate. Dobbiamo scrivere le nostre regole in /etc/audit/rules.d/audit.rules file di configurazione che verrà letto e verranno applicate le azioni di controllo corrispondenti.

Ignora/Esclusione di un file/directory dalla regola di controllo

Escluse le directory

Il modo più semplice per farlo è semplicemente disabilitare il percorso dalla registrazione, ad esempio:

# vi /etc/audit/rules.d/audit.rules
-a never,exclude -F dir=/path/to/exclude -k exclude_dir

Sopra escluderà la directory /path/to/exclude dall'essere registrato da auditd.

Su CentOS/RHEL 6, il file di configurazione è /etc/audit/audit.rules invece di /etc/audit/rules.d/audit.rules.

File esclusi

Per escludere i file dal controllo:

# vi /etc/audit/rules.d/audit.rules
-a never,exclude -F path=/file_to_exclude -k exclude_file

Qui,
-a – Aggiungi la regola alla fine dell'elenco con l'azione.
mai – Non verranno generati record di controllo.
escludi – Aggiungi una regola all'elenco dei filtri di esclusione del tipo di evento
-F – Campo regola come percorso, numero inode, nome file ecc.

Altre regole campi utilizzati per escludere

Puoi anche disabilitare il controllo di file/directory utilizzando vari altri campi di regole come il numero di inode, il nome di comando/applicazione come /sbin/rm ecc.

# vi /etc/audit/rules.d/audit.rules
-a never,exclude -F exe=/usr/bin/java -k exclude_java
-a never,exclude -F inode=17910851 -k exclude_inode

escludere tutte le operazioni da un UID

Aggiungi il formato seguente per escludere tutte le operazioni da un uid.

# vi /etc/audit/rules.d/audit.rules
-a exit,never -F auid=[UID number]

Disabilita la modalità immutabile

Se il sistema di audit è in modalità immutabile, non sono consentite modifiche alle regole. Quindi assicurati di commentare anche in /etc/audit/audit.rules sotto la voce se non è già stato commentato.

# vi /etc/audit/audit.rules
# Make the configuration immutable -- reboot is required to change audit rules
#-e 2

È necessario riavviare il sistema dopo che le modifiche di cui sopra sono state apportate.

# shutdown -r now

In casi normali riavvia semplicemente il servizio auditd:

# service auditd restart

Configurazione della regola di controllo non riflessa:come risolvere i problemi

Come configurare l'interfaccia in "Modalità promiscua" in CentOS/RHEL

Cent OS

Come nascondere un file o una directory su CentOS

Come rimuovere (^M) caratteri da un file in Linux

Come copiare un file da un'altra directory a quella corrente?

Come aggiungere una directory virtuale da SolidCP?

Come aggiungere una directory virtuale da WebsitePanel 2.1?

Procedura:Configurazione di base del file IPTables