SOLUTION 已验证 - 已更新 2017年十一月29日20:08 -
原文地址:https://access.redhat.com/solutions/2144381
环境
- Red Hat Enterprise Linux 5, 6, 7
- NFS
问题
- 通过nfs共享的一个目录已从主机中删除。
- 那么,如何为通过nfs共享的文件系统启用审计?
- 我们可以在nfs服务器上配置审核规则吗?
- 是否可以配置nfs服务器的审计规则,以跟踪在导出的nfs客户端上执行的任何操作?
决议
- 下面是一个示例,其中为nfs共享文件系统
/test
设置了审计规则。。
[root@vm27 test1]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/vg_vm27-lv_root 8.4G 3.4G 4.7G 42% /
tmpfs 498M 0 498M 0% /dev/shm
/dev/vda1 485M 34M 426M 8% /boot
/dev/vdc 5.0G 138M 4.6G 3% /shareddata
node1:/test 8.4G 2.9G 5.2G 36% /test1 <------------------NFS Share
- 编辑
/etc/audit/audit.rules
并将以下规则添加到要监视的共享的文件末尾。
-w /test1/ -p wa -k test1
[root@vm27 test1]# cat /etc/audit/audit.rules
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
-w /test1/ -p wa -k test1 <-----------------------------Added entry for /test1
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
- 然后运行以下命令以重新启动
audited
服务并列出活动的审核规则:
# service auditd restart
- 注意:对于Rhel 7-
service
命令是正确与audited
守护进程交互的唯一方法,以便正确记录auid值。systemctl
命令仅用于两个操作:enable
和status
- 在nfs共享上执行了一些活动:
[root@vm27 /]# cd /test1
[root@vm27 test1]# touch xyz klm nop
[root@vm27 test1]# chown root:root /test1
- 可以根据给定的关键字字符串搜索事件:
# ausearch -k test
time->Tue Dec 22 11:01:09 2015
type=PATH msg=audit(1450762269.907:45573): item=1 name=(null) inode=396565 dev=00:18 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:nfs_t:s0 nametype=NORMAL
type=PATH msg=audit(1450762269.907:45573): item=0 name="/test1" inode=388706 dev=00:18 mode=040755 ouid=99 ogid=99 rdev=00:00 obj=system_u:object_r:nfs_t:s0 nametype=PARENT
type=CWD msg=audit(1450762269.907:45573): cwd="/test1"
type=SYSCALL msg=audit(1450762269.907:45573): arch=c000003e syscall=2 success=yes exit=0 a0=7fff6b96874b a1=941 a2=1b6 a3=0 items=2 ppid=6273 pid=6563 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1529 comm="touch" exe="/bin/touch" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="test1"
----
time->Tue Dec 22 11:01:09 2015
type=PATH msg=audit(1450762269.910:45574): item=1 name=(null) inode=396571 dev=00:18 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:nfs_t:s0 nametype=NORMAL
type=PATH msg=audit(1450762269.910:45574): item=0 name="/test1" inode=388706 dev=00:18 mode=040755 ouid=99 ogid=99 rdev=00:00 obj=system_u:object_r:nfs_t:s0 nametype=PARENT
type=CWD msg=audit(1450762269.910:45574): cwd="/test1"
type=SYSCALL msg=audit(1450762269.910:45574): arch=c000003e syscall=2 success=yes exit=0 a0=7fff6b96874f a1=941 a2=1b6 a3=0 items=2 ppid=6273 pid=6563 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1529 comm="touch" exe="/bin/touch" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="test1"
----
time->Tue Dec 22 11:01:29 2015
type=PATH msg=audit(1450762289.707:45575): item=0 name="/test1" inode=388706 dev=00:18 mode=040755 ouid=99 ogid=99 rdev=00:00 obj=system_u:object_r:nfs_t:s0 nametype=NORMAL
type=CWD msg=audit(1450762289.707:45575): cwd="/test1"
type=SYSCALL msg=audit(1450762289.707:45575): arch=c000003e syscall=260 success=yes exit=0 a0=ffffffffffffff9c a1=f20720 a2=0 a3=0 items=1 ppid=6273 pid=6565 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1529 comm="chown" exe="/bin/chown" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="test1"
Audit rules
也可以在nfs服务器上配置,但如果文件是从一个nfs客户端修改的,那么nfs服务器审核日志中就不会有这些文件。Audit
将仅跟踪本地系统调用,因此必须在所有客户端和服务器上配置规则。