監査ログへの変更の監査
PCIコンプライアンスの理由でauditdを構成しました
PCIは、アラートを生成せずに既存のログを変更することはできないと述べています
この記事 http://ptresearch.blogspot.com/2010/11/requirement-10-track-and-monitor-all.html これを行うことをお勧めします:
-w/var/log/-k Logs_Accessed -p rwxa
このauditctlコマンドは機能しますか?確かに、別の監査イベントなどを引き起こすログへの監査イベントの書き込みで円になってしまうでしょうか?
監査コマンドラインは完全に機能します。ただし、追加の保護レイヤーが必要な場合:
- chattrを使用して、ログを追加のみに変更します
- 一元化されたログサーバーを持っている
- sElinuxルールを使用して、syslogとデーモン自体のみが/ var/logに書き込むことができるように強制するルールを設定します
- unix権限を使用して、/ var/logに数人だけがアクセスできるようにします。
その記事の次のセクションでは、"These messages are processed by daemon syslog, not auditd."
おそらく、これは、syslogデーモンがこれらの特定のメッセージをローカルではなくリモートでログに記録するように構成されていることを意味します。
誰かが変更しているのと同じファイル内のファイルを変更しているという事実をログに記録すると、そのエントリも簡単に削除できるため、これはセキュリティの観点から賢明です。それらをリモートでログに記録すると、攻撃者はそれらを変更するのが難しくなります。これらのメッセージのリモートロギングも、編集ループの問題を解決します。
auditdには、このループの問題を解決する例外があるかもしれませんが、作成者は、そもそもループを作成しないことを期待しているかもしれません。