audit を使用して特定の SYSCALL を監視する方法
Environment
- Red Hat Enterprise Linux 5
Issue
- 特定の syscall がシステムで実行されたことを把握する必要はありますか?
- たとえば、システムで実行した kill の痕跡をすべて把握する必要はありますか?
Resolution
-
以下のように、audit ファイルを作成します。
# vim /etc/audit/audit.rules -a entry,always -F arch=b64 -S kill -k teste_kill
注意: arch は syscall の CPU アーキテクチャです。システムが 32 ビット OS であれば、"arch=b32" とする必要があります。詳細は adutctl の man ページ AUDITCTL(8) をご参照下さい。
-
audit サービスを再起動します。
# service auditd restart
-
一部のプロセスに kill を実行してルールをテストします。この例では、sleep プロセスを生成して終了させます。
# vim /etc/audit/audit.rules -a entry,always -F arch=b64 -S kill -k teste_kill # service auditd restart # sleep 100 # ps aux | grep sleep root 1968 0.0 0.0 58876 504 pts/3 S+ 16:01 0:00 sleep 100 root 1975 0.0 0.0 61136 736 pts/4 S+ 16:01 0:00 grep sleep # kill 1968 # tail -f /var/log/audit/audit.log type=SYSCALL msg=audit(1279134100.434:193): arch=c000003e syscall=62 success=yes exit=0 a0=7b0 a1=f a2=0 a3=0 items=0 ppid=1602 pid=1605 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=4294967295 comm="bash" exe="/bin/bash" key="teste_kill" type=OBJ_PID msg=audit(1279134100.434:193): opid=1968 oauid=-1 ouid=0 oses=-1 obj=<NULL> ocomm="sleep"
-
audit サーチを使用して、最初の手順で指定したキーをもとに kill コマンドに関連するログを見つけます。
# ausearch -k teste_kill ---- time->Wed Jul 14 16:00:17 2010 type=CONFIG_CHANGE msg=audit(1279134017.731:186): auid=4294967295 op=add rule key="teste_kill" list=2 res=1 ---- time->Wed Jul 14 16:01:40 2010 type=OBJ_PID msg=audit(1279134100.434:193): opid=1968 oauid=-1 ouid=0 oses=-1 obj=<NULL> ocomm="sleep" type=SYSCALL msg=audit(1279134100.434:193): arch=c000003e syscall=62 success=yes exit=0 a0=7b0 a1=f a2=0 a3=0 items=0 ppid=1602 pid=1605 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=4294967295 comm="bash" exe="/bin/bash" key="teste_kill"
参照情報:
http://www.novell.com/documentation/sled10/pdfdoc/auditqs_sp2/auditqs_sp2.pdf
http://people.redhat.com/sgrubb/audit/audit-parse.txt
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments