Любезный xetle рассказал о том, как он заворачивает нужные Linux-логи в NOC:
8[15:15] xetle: Если в ядре включить CONFIG_GRKERNSEC_EXECLOG=y и CONFIG_GRKERNSEC_AUDIT_CHDIR=y
8[15:16] xetle: то фильтр у меня токой стоит:
8[15:16] xetle: filter f_audit { message("^(\\[.*\..*\] |)audit.*") and not message(".*avc: .*"); };
8[15:18] xetle: log { source(src); filter(f_authpriv); filter(f_audit); destination(NOC); };
8[15:18] xetle: Теперь в NOC будут слаться авторизация и аудит
8[15:19] xetle: Аудит это все исполняемые комманды, можно только определённой юникс группы.
7[15:20] TSergey: а как заворачиваешь на нок?
8[15:21] xetle: destination NOC { udp("1.1.1.1" port(514)); };
8[15:21] xetle: filter f_authpriv { facility(auth, authpriv); };
8[15:21] xetle: filter f_audit { message("^(\\[.*\..*\] |)audit.*") and not message(".*avc: .*"); };
8[15:21] xetle: log { source(src); filter(f_authpriv); filter(f_audit); destination(NOC); };
8[15:22] xetle: и в самом верху ещё:
8[15:22] xetle: source src {
8[15:22] xetle: unix-dgram("/dev/log");
8[15:22] xetle: internal();
8[15:22] xetle: };
xetle , : Настройки логирования аудиту лучше в подраздел вынести,
xetle , : Логирования вводимых комманд можно реализовать разными способами но мы остановимся на предложенном
https://grsecurity.net
(Подробно: https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Kernel_Auditing)
xetle , : Предлагаемые настройки ядра:
xetle , : GRKERNSEC_AUDIT_GROUP=y
xetle , : GRKERNSEC_AUDIT_GID=65111
xetle , : GRKERNSEC_EXECLOG=y
xetle , : GRKERNSEC_AUDIT_CHDIR=y
xetle , : GRKERNSEC_AUDIT_MOUNT=y
xetle , : надо создать группу для аудита:
xetle , : groupadd -g 65111 audit
xetle , : добавить в группу нужных пользователей:
xetle , : usermod -a -G audit vasya ...
xetle , : Да уверен всё это надо. Иначе оно все выполнения комманд будет логировать, а нам надо пару пользователей и процессов.
3 Comments
Unknown User (tsergey)
Любезный xetle рассказал о том, как он заворачивает нужные Linux-логи в NOC:
8[15:15] xetle: Если в ядре включить CONFIG_GRKERNSEC_EXECLOG=y и CONFIG_GRKERNSEC_AUDIT_CHDIR=y 8[15:16] xetle: то фильтр у меня токой стоит: 8[15:16] xetle: filter f_audit { message("^(\\[.*\..*\] |)audit.*") and not message(".*avc: .*"); }; 8[15:18] xetle: log { source(src); filter(f_authpriv); filter(f_audit); destination(NOC); }; 8[15:18] xetle: Теперь в NOC будут слаться авторизация и аудит 8[15:19] xetle: Аудит это все исполняемые комманды, можно только определённой юникс группы. 7[15:20] TSergey: а как заворачиваешь на нок? 8[15:21] xetle: destination NOC { udp("1.1.1.1" port(514)); }; 8[15:21] xetle: filter f_authpriv { facility(auth, authpriv); }; 8[15:21] xetle: filter f_audit { message("^(\\[.*\..*\] |)audit.*") and not message(".*avc: .*"); }; 8[15:21] xetle: log { source(src); filter(f_authpriv); filter(f_audit); destination(NOC); }; 8[15:22] xetle: и в самом верху ещё: 8[15:22] xetle: source src { 8[15:22] xetle: unix-dgram("/dev/log"); 8[15:22] xetle: internal(); 8[15:22] xetle: };или некоторая настройка syslog-ng
source src { unix-dgram("/dev/log"); internal(); }; destination NOC { udp("1.1.1.1" port(514)); }; filter f_authpriv { facility(auth, authpriv); }; filter f_audit { message("^(\\[.*\..*\] |)audit.*") and not message(".*avc: .*"); }; log { source(src); filter(f_authpriv); filter(f_audit); destination(NOC); };Unknown User (tsergey)
ядро:
настроим группу и пользователей:
Unknown User (gnu-linux)
Если вы пользуетесь systemd то: https://wiki.gentoo.org/wiki/Systemd#syslog-ng_conflicts_with_systemd
вместо
source src { unix-stream("/dev/log"); };
надо использовать
source src { unix-dgram("/dev/log"); };
ибо systemd создаёт /dev/log как datagram сокет!