監査ルールの作成

/etc/audit/audit.rules構成ファイルで監査ルールを作成し、分析のためにより関連性の高いデータを収集します。

監査では、デフォルトで、システム・ログイン、アカウントに対する変更、sudoアクションなどの特定のイベントがキャプチャされます。監査を構成して、詳細なシステム・コール・アクティビティおよび特定のファイルへの変更を取得できます。カーネル監査デーモン(auditd)は、構成したイベント(イベント・タイプ、タイムスタンプ、関連付けられたユーザーID、システム・コールが成功したか失敗したかなど)を記録します。

監査ルール・ファイル/etc/audit/audit.rulesのエントリは、監査対象のイベントを構成します。各ルールは、auditctlコマンドに渡されるコマンドライン・オプションです。組織のセキュリティ・ポリシーに一致するようにこのファイルを構成します。

次に、/etc/audit/audit.rulesファイルで設定できるルールの例を示します:

ファイルに対するopenおよびtruncateシステム・コールからの失敗した終了をすべて記録し、その情報を/etcディレクトリ階層に格納するには、次の行を追加します:

-a exit,always -S open -S truncate -F /etc -F success=0

UID値が10のユーザーが開いたすべてのファイルを記録するには、次の行を追加します:

-a exit,always -S open -F uid=10

500以上のUID値で最初にサインインしたユーザーによって変更された、または属性が変更されたすべてのファイルを記録するには、次の行を追加します:

-a exit,always -S open -F auid>=500 -F perm=wa

書込みまたはファイル属性変更アクセスのリクエストを記録するには、レコードを/etc/sudoersファイルに格納し、そのようなレコードを文字列sudoers-changeでタグ付けします:

-w /etc/sudoers -p wa -k sudoers-change

書込みリクエストおよびファイル属性変更アクセスのリクエストを記録し、レコードを/etcディレクトリ階層に格納するには、次の行を追加します:

-w /etc/ -p wa

監査構成の変更後にリブートを要求するには、次の行を追加します:

-e 2

ノート:

/etc/audit/audit.rulesファイルの最後に再起動するルールを定義することは、適切なセキュリティ・プラクティスとみなされます。

監査ルールの例について、auditctl(8)およびaudit.rules(7)マニュアル・ページも参照してください。