GNU/Linux >> Tutoriels Linux >  >> Cent OS

Comment exclure un fichier/répertoire des règles auditd

auditd est un composant de l'espace utilisateur du système d'audit Linux. Cela signifie que les utilisateurs du système pourront exécuter auditd pour configurer des règles et des alertes pour la fonctionnalité d'audit avec le système Linux. L'une des meilleures choses à propos d'auditd est qu'il est étroitement intégré au noyau, ce qui nous donne le pouvoir de surveiller presque tout ce que nous voulons, vraiment.

Afin de permettre aux utilisateurs de voir ce qui se passe, auditd peut enregistrer tous les événements liés à l'audit sur un disque et nous pouvons utiliser divers outils tels que ausearch ou aureport pour parcourir les fichiers journaux. Par défaut, aucune règle n'est configurée. Nous devons écrire nos règles dans le /etc/audit/rules.d/audit.rules fichier de configuration qui sera lu et les actions d'audit correspondantes seront appliquées.

Ignorer/exclure un fichier/répertoire de la règle d'audit

Exclure les répertoires

Le moyen le plus simple consiste à désactiver simplement le chemin de la journalisation, par exemple :

# vi /etc/audit/rules.d/audit.rules
-a never,exclude -F dir=/path/to/exclude -k exclude_dir

Ci-dessus, le répertoire /path/to/exclude sera exclu de la journalisation par auditd.

Sur CentOS/RHEL 6, le fichier de configuration est /etc/audit/audit.rules au lieu de /etc/audit/rules.d/audit.rules.

Exclure des fichiers

Pour exclure des fichiers de l'audit :

# vi /etc/audit/rules.d/audit.rules
-a never,exclude -F path=/file_to_exclude -k exclude_file

Ici,
-a – Ajouter la règle à la fin de la liste avec action.
jamais – Aucun enregistrement d'audit ne sera généré.
exclure – Ajouter une règle à la liste des filtres d'exclusion de type d'événement
-F - Champ de règle comme chemin, numéro d'inode, nom de fichier, etc.

Autres champs de règles utilisés pour exclure

Vous pouvez également désactiver l'audit des fichiers/répertoires en utilisant divers autres champs de règles comme le numéro d'inode, le nom de la commande/de l'application comme /sbin/rm etc.

# vi /etc/audit/rules.d/audit.rules
-a never,exclude -F exe=/usr/bin/java -k exclude_java
-a never,exclude -F inode=17910851 -k exclude_inode

exclure toutes les opérations d'un UID

Ajoutez le format ci-dessous pour exclure toutes les opérations d'un uid.

# vi /etc/audit/rules.d/audit.rules
-a exit,never -F auid=[UID number]

Désactiver le mode immuable

Si le système d'audit est en mode immuable, aucune modification de règle n'est autorisée. Assurez-vous donc également de commenter dans /etc/audit/audit.rules sous l'entrée si ce n'est pas déjà fait.

# vi /etc/audit/audit.rules
# Make the configuration immutable -- reboot is required to change audit rules
#-e 2

Vous devez redémarrer le système une fois les modifications ci-dessus effectuées.

# shutdown -r now

Dans des cas normaux, redémarrez simplement le service auditd :

# service auditd restart


Cent OS

  1. Comment lire une variable à partir d'un fichier ?

  2. Comment imprimer de Vim en PDF ?

  3. Comment utiliser auditd pour surveiller la suppression d'un fichier sous Linux

  4. Comment puis-je exclure un répertoire de la commande ls

  5. Comment exclure des fichiers de l'archive TAR à l'aide d'expressions régulières ?

Comment masquer un fichier ou un répertoire sur CentOS

Comment supprimer les caractères (^M) d'un fichier sous Linux

Comment copier un fichier d'un autre répertoire vers celui en cours ?

Comment ajouter un répertoire virtuel depuis SolidCP ?

Comment ajouter un répertoire virtuel depuis WebsitePanel 2.1 ?

Procédure :configuration de base des fichiers IPTables