auditd adalah komponen userspace untuk Sistem Audit Linux. Ini bertanggung jawab untuk menulis catatan audit ke disk. Melihat log dilakukan dengan utilitas ausearch atau aureport. Konfigurasi aturan audit dilakukan dengan utilitas auditctl. Selama startup, aturan di /etc/audit/rules.d/audit.rules (Untuk CentOS/RHEL 7) dibaca oleh auditctl. Daemon audit itu sendiri memiliki beberapa opsi konfigurasi yang mungkin ingin disesuaikan oleh admin. Mereka ditemukan di file auditd.conf.
Postingan tersebut memberikan contoh aturan audit untuk menangkap kredensial pengguna dan perintah yang digunakan untuk mem-boot ulang/mematikan server linux dan aturan ini dapat dimodifikasi sesuai kebutuhan.
File konfigurasi utama untuk menambahkan aturan audit adalah “/etc/audit/audit.rules” dan file yang sama perlu diperbarui dengan aturan yang diperlukan.
Catatan :Pada CentOS/RHEL 7, file konfigurasi adalah /etc/audit/rules.d/audit.rules bukan /etc/audit/audit.rules.
Konfigurasi Audit
Di bawah ini adalah contoh berdasarkan CentOS/RHEL 6, tetapi langkah-langkahnya tetap sama untuk CentOS/RHEL 7.
1. Ambil backup dari konfigurasi yang ada.
# cp /etc/audit/audit.rules /etc/audit/audit.rules.bkp
2. Edit file /etc/audit/audit.rules dan tambahkan aturan berikut untuk membuatnya tetap.
# vi /etc/audit/audit.rules -a exit,always -F arch=b64 -S execve -F path=/sbin/reboot -k reboot [ -k Filter key ] -a exit,always -F arch=b64 -S execve -F path=/sbin/init -k reboot -a exit,always -F arch=b64 -S execve -F path=/sbin/poweroff -k reboot -a exit,always -F arch=b64 -S execve -F path=/sbin/shutdow -k reboot
3. Restart layanan auditd untuk membuat perubahan berlaku.
# service auditd restart
4. Buat daftar aturan yang ditambahkan,
# auditctl -l LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/reboot key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/init key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/poweroff key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/shutdow key=reboot syscall=execve
Verifikasi
Untuk memfilter peristiwa reboot dari log audit, kunci filter harus ditentukan.
# ausearch -k reboot time->Mon Jan 4 11:48:20 2016 type=PATH msg=audit(1451926100.004:17): item=1 name=(null) inode=1368522 dev=fc:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 type=PATH msg=audit(1451926100.004:17): item=0 name="/sbin/init" inode=1792404 dev=fc:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 type=CWD msg=audit(1451926100.004:17): cwd="/root" type=EXECVE msg=audit(1451926100.004:17): argc=2 a0="init" a1="6" type=SYSCALL msg=audit(1451926100.004:17): arch=c000003e syscall=59 success=yes exit=0 a0=12706f0 a1=1271190 a2=1268ec0 a3=8 items=2 ppid=2830 pid=2879 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=1 comm="init" exe="/sbin/init" key="reboot
Di sini,
uid – Mewakili id pengguna.
gid – Mewakili id grup
exe="/sbin/init” – perintah dieksekusi