Page tree
Skip to end of metadata
Go to start of metadata

3 Comments

  1. Unknown User (tsergey)

    Любезный xetle рассказал о том, как он заворачивает нужные Linux-логи в NOC:

    8[15:15]    xetle: Если в ядре включить CONFIG_GRKERNSEC_EXECLOG=y и CONFIG_GRKERNSEC_AUDIT_CHDIR=y
    8[15:16]    xetle: то фильтр у меня токой стоит:
    8[15:16]    xetle: filter f_audit { message("^(\\[.*\..*\] |)audit.*") and not message(".*avc: .*"); };
    8[15:18]    xetle: log { source(src); filter(f_authpriv); filter(f_audit); destination(NOC); };
    8[15:18]    xetle: Теперь в NOC будут слаться авторизация и аудит
    8[15:19]    xetle: Аудит это все исполняемые комманды, можно только определённой юникс группы.
    7[15:20]    TSergey: а как заворачиваешь на нок?
    8[15:21]    xetle: destination NOC { udp("1.1.1.1" port(514)); };
    8[15:21]    xetle: filter f_authpriv { facility(auth, authpriv); };
    8[15:21]    xetle: filter f_audit { message("^(\\[.*\..*\] |)audit.*") and not message(".*avc: .*"); };
    8[15:21]    xetle: log { source(src); filter(f_authpriv); filter(f_audit); destination(NOC); };
    8[15:22]    xetle: и в самом верху ещё:
    8[15:22]    xetle: source src {
    8[15:22]    xetle:     unix-dgram("/dev/log");
    8[15:22]    xetle:     internal();
    8[15:22]    xetle: };

    или некоторая настройка syslog-ng

    source src {
         unix-dgram("/dev/log");
         internal();
    };
    destination NOC { udp("1.1.1.1" port(514)); };
    filter f_authpriv { facility(auth, authpriv); };
    filter f_audit { message("^(\\[.*\..*\] |)audit.*") and not message(".*avc: .*"); };
    log { source(src); filter(f_authpriv); filter(f_audit); destination(NOC); };
    

     

     

  2. Unknown User (tsergey)

    xetle  , : Настройки логирования аудиту лучше в подраздел вынести,
    xetle  , : Логирования вводимых комманд можно реализовать разными способами но мы остановимся на предложенном 
    https://grsecurity.net 
    (Подробно: https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Kernel_Auditing)
    xetle  , : Предлагаемые настройки ядра:
    xetle  , : GRKERNSEC_AUDIT_GROUP=y
    xetle  , : GRKERNSEC_AUDIT_GID=65111
    xetle  , : GRKERNSEC_EXECLOG=y
    xetle  , : GRKERNSEC_AUDIT_CHDIR=y
    xetle  , : GRKERNSEC_AUDIT_MOUNT=y
    xetle  , : надо создать группу для аудита:
    xetle  , : groupadd -g 65111 audit
    xetle  , : добавить в группу нужных пользователей:
    xetle  , : usermod -a -G audit vasya ...
    xetle  , : Да уверен всё это надо. Иначе оно все выполнения комманд будет логировать, а нам надо пару пользователей и процессов.

    ядро:

    GRKERNSEC_AUDIT_GROUP=y
    GRKERNSEC_AUDIT_GID=65111
    GRKERNSEC_EXECLOG=y
    GRKERNSEC_AUDIT_CHDIR=y
    GRKERNSEC_AUDIT_MOUNT=y

    настроим группу и пользователей:

    # создать группу для аудита:
    groupadd -g 65111 audit
    # добавить в группу нужных пользователей:
    usermod -a -G audit vasya ...
  3. Unknown User (gnu-linux)

    Если вы пользуетесь systemd то: https://wiki.gentoo.org/wiki/Systemd#syslog-ng_conflicts_with_systemd

    вместо

    source src { unix-stream("/dev/log"); };

    надо использовать

    source src { unix-dgram("/dev/log"); };

     ибо systemd создаёт /dev/log как datagram сокет!