auditd Linux资产兼容模式
—增加日志大小
实现这个auditd兼容性模式导致更大audit.log文件。因此,您的资产的性能和带宽使用可能会增加,这取决于捕获的审计事件。
如果您是InsightIDR订阅者,则Insight Agent的正常部署需要必威体育app登录auditd服务礼物,但禁用您的目标Linux资产。如果您的组织需要的话auditd在任何时候启用,您可以配置和实现auditd兼容模式,以满足此要求。
过程概述
这个过程涉及将本文中显示的编辑合并到以下内容审计服务文件:
audit.rulesaudispd.confaf_unix.conf
此外,您必须在代理安装目录中创建一个文件来手动启用auditd兼容模式。
需求
如果要实现,您的Linux主机必须满足以下要求auditd兼容模式:
- 您所安装的Insight Ag必威体育app登录ent必须是2.5.0.3及以上版本。
- 的
af_unixaudispd内置插件必须是可用的和未使用的。- 自
af_unix只能采用单个客户端,插件必须是可单独使用的兼容模式。
- 自
auditd必须安装,但已禁用。- 您将重新启动
auditd将必要的编辑合并到auditd服务文件。
- 您将重新启动
配置步骤
在开始之前,运行以下命令来验证auditd服务存在,但已停止:
1
服务auditd状态
在验证了auditd服务停止后,继续执行修改配置文件的步骤。
配置文件的修改
您的配置文件必须遵循这些小节中显示的示例。
/etc/audit/audit.rules
说明—augenrules合并行为
请注意rules.d合并与audit.rules如果augenrules脚本启用。
确保您配置了等/审计/ rules.d为了防止你的内容audit.rules文件以一种不一致的方式受到影响auditd兼容模式。
你可以在这里遵循Linux手册页的指导:https://man7.org/linux/man-pages/man8/augenrules.8.html.
文本
1
#该文件包含加载的auditctl规则
2
当审计守护进程通过初始化脚本启动时。
3.
#规则只是要传递的参数
4
# auditctl。
5
6
#第一条规则-删除所有
7
- d
8
9
#增加应对压力事件的缓冲。
10
对于繁忙的系统,这个值要大一些
11
- b 8192
12
13
#不阻塞以下事件
14
# USER_AUTH
15
# USER_START
16
# USER_END
17
#用户_
18
# USER_LOGOUT
19
# ADD_USER
20.
# DEL_USER
21
# ADD_GROUP
22
# DEL_GROUP
23
# SERVICE_START
24
# SERVICE_STOP
25
#系统调用
26
# EXECVE
27
28
29
30.
# REQUIRED (for 必威体育app登录Insight Agent):观察执行系统调用,对于32位系统更改为arch=b32
31
-a always,exit -F arch=b64 -S execve
32
33
可以在这一行下面添加其他规则。请参见auditctl手册页
34
请注意
的-a always,exit -F arch=b64 -S execve此处显示的审计规则是Insight Agent所需的最小规则。必威体育app登录您可以根据需要在这里添加额外的审计规则行。
/etc/audisp/audispd.conf
文本
1
#
2
这个文件控制审计事件的配置
3.
# dispatcher守护进程
4
#
5
6
q_depth = 8192
7
overflow_action = SYSLOG
8
priority_boost = 4
9
max_restarts = 10
10
name_format =主机名
/etc/audisp/plugins.d/af_unix.conf
文本
1
该文件控制的配置
2
# af_unix socket插件。它只需要事件
3.
并将它们写入Unix域套接字。这
4
#插件可以接受两个参数,路径为
5
# socket和socket权限,以八进制表示。
6
7
积极= yes
8
方向=
9
路径= builtin_af_unix
10
类型=装入的
11
Args = 0600 /var/run/audispd_events
12
=二进制格式
完成这些修改后,启动auditd使用以下命令服务:
1
服务auditd开始
接下来,使用以下命令验证是否正确配置了规则:
1
auditctl - l
尽管不同的内核版本在输出上可能有微小的差异,但您的命令结果应该如下所示:
1
root@ubuntu: ~ # auditctl - l
2
-a always,exit -F arch=b64 -S execve
代理修改
最后,修改Linux资产上的代理以完成该过程:
- 导航到您的
/ opt / rapid7 ir_agent /组件/ insight_agent /共同/目录中。 - 创建一个新文件并命名它
audit.conf. - 用你选择的编辑工具打开文件,添加以下行:
1
{“auditd-compatibility-mode”:真正的}
- 保存并关闭文件。
- 请重新启动代理服务,使兼容模式生效。