Linux文件完整性监控
您可以为支持的Linux机器配置文件完整性监视。在配置该特性之前,请确保您的Linux操作系统满足系统对Insight Agent的要求。必威体育app登录FIM for Linux被验证在以下操作系统上运行:
- Ubuntu 18.04版本
- SLED版本12.
- 红帽企业Linux 6,7
/bin目录不支持
Red Hat Enterprise 6和7上的Linux FIM不支持监控/bin目录下的文件。
其他操作系统和版本不保证支持此功能。
Linux的FIM只监视创建那写, 和删除您的Linux机器上的活动。
为了让InsightIdr从Linux机器监控特定文件路径,您必须配置审计兼容性模式略有修改。
为了配置Linux下的FIM,您必须:
配置Auditd兼容模式
在启动Linux的文件完整性监控之前,必须进行配置Auditd兼容模式为您的Linux资产。如果没有它,您将无法配置文件完整性监控。
更改审计
更改此文件之前,请参阅有关放置位置的所选Linux发行版的文档audit.rules文件。
最后audit.rules文件,您可以根据需要添加其他规则。您必须添加规则来记录活动允许目录路径。
例如,以下示例格式列出了目录和子目录,您可以使用FIM进行监视Linux:
1
-w / bin -p w
2
-w /etc/group
3.
-w / etc / passwd -p w
4.
-w / etc / sudoers -p w
这些选项定义如下:
- w- 在指定的路径或文件上插入手表- p- 介绍此路径或文件监视的权限访问权限
权限选项有:
R.=读W.=写X=执行一种=属性更改(例如用户或用户组权限更改)
fim for linux将监控W.(写)活动。Insidota2必威联赛ght平台将忽略所有其他权限访问权限(R.|X|一种)类型。
如果您选择监视所有权限选项(-p rwxa.), 这审计输出文件(audit.log)将捕获所有可用的内核生成的事件。
示例配置
这是一个函数的例子audit.rules文件:
1
#该文件包含加载的auditctl规则
2
#每当通过initscripts启动审核守护程序时。
3.
#规则只是通过的参数
4.
#到auditctl。
5.
6.
#First Rule - 删除所有
7.
- d
8.
9.
#增加应对压力事件的缓冲。
10
#使这更大繁忙的系统
11
- b 8192
12
13
#不要阻止以下事件
14
#user_auth.
15
# USER_START
16
#user_end.
17
# 用户登录
18
# USER_LOGOUT
19
# 添加用户
20.
#del_user.
21
#add_group.
22
#del_group.
23
# SERVICE_START
24
#stement_stop.
25
#系统调用
26
# EXECVE
27
28
# REQUIRED (for 必威体育app登录Insight Agent):观察执行系统调用,对于32位系统更改为arch=b32
29
-a始终,退出-f arch = b64 -s execve -f键=执行
30.
31
#随时添加此行以下的其他规则。请参阅auditctl手册页
32
#(对于InsightIdr fim):观看来自以下目录的写入事件
33
-w / bin -p w
34
-w /etc/group
35
-w / etc / passwd -p w
36
-w / etc / sudoers -p w
Linux监测的建议
FIM的目的是仅跟踪和审计关键系统上的关键业务目录上的文件修改。
InsightIdr允许您在Linux计算机上监控以下目录:
- / bin
- /靴子
- /等
- / sbin
- / usr / bin
- / usr / local / bin
- / usr / local / sbin
- / usr / sbin
- /usr/share/keyrings
- /var/spool/cron
您可以选择以比目录列表更粒度(如子目目表)监视。
InsightIdr将“忽略”您为监视配置的任何其他目录路径。但是,如果您确定组织所必需的,则可以请求将某些路径添加到AllowList中。
要向allowlist添加扩展,联系Rapid7支持。