GNU/Linux >> Tutoriales Linux > >> Cent OS

Cómo excluir un archivo/directorio de las reglas de auditoría

auditd es un componente de espacio de usuario para el sistema de auditoría de Linux. Esto significa que los usuarios del sistema podrán ejecutar auditd para configurar reglas y alertas para la funcionalidad de auditoría con el sistema Linux. Una de las mejores cosas de auditd es que está estrechamente integrado con el kernel, por lo que nos da el poder de monitorear casi todo lo que queremos, realmente.

Para permitir que los usuarios vean lo que está pasando, auditd puede registrar todos los eventos relacionados con la auditoría en un disco y podemos usar varias herramientas como ausearch o aureport para revisar los archivos de registro. De forma predeterminada, no hay reglas configuradas. Necesitamos escribir nuestras reglas en /etc/audit/rules.d/audit.rules archivo de configuración que se leerá y se aplicarán las acciones de auditoría correspondientes.

Ignorar/Excluir un archivo/directorio de la regla de auditoría

Excluyendo directorios

La forma más fácil de hacerlo es simplemente deshabilitar la ruta desde el registro, por ejemplo:

# vi /etc/audit/rules.d/audit.rules
-a never,exclude -F dir=/path/to/exclude -k exclude_dir

Lo anterior excluirá el directorio /ruta/a/excluir de ser registrado por auditd.

En CentOS/RHEL 6, el archivo de configuración es /etc/audit/audit.rules en lugar de /etc/audit/rules.d/audit.rules.

Excluyendo archivos

Para excluir archivos de la auditoría:

# vi /etc/audit/rules.d/audit.rules
-a never,exclude -F path=/file_to_exclude -k exclude_file

Aquí,
-a – Agregar regla al final de la lista con acción.
nunca – No se generarán registros de auditoría.
excluir – Agregar una regla a la lista de filtros de exclusión de tipo de evento
-F – Campo de regla como ruta, número de inodo, nombre de archivo, etc.

Otros campos de reglas utilizados para excluir

También puede deshabilitar la auditoría de archivos/directorios usando otros campos de reglas como número de inodo, nombre de comando/aplicación como /sbin/rm, etc.

# vi /etc/audit/rules.d/audit.rules
-a never,exclude -F exe=/usr/bin/java -k exclude_java
-a never,exclude -F inode=17910851 -k exclude_inode

excluir todas las operaciones de un UID

Agregue el siguiente formato para excluir todas las operaciones de un uid.

# vi /etc/audit/rules.d/audit.rules
-a exit,never -F auid=[UID number]

Deshabilitar el modo inmutable

Si el sistema de auditoría está en modo inmutable, no se permiten cambios de reglas. Así que asegúrese de comentar también en /etc/audit/audit.rules debajo de la entrada si aún no lo ha comentado.

# vi /etc/audit/audit.rules
# Make the configuration immutable -- reboot is required to change audit rules
#-e 2

Debe reiniciar el sistema después de que se hayan realizado los cambios anteriores.

# shutdown -r now

En casos normales, simplemente reinicie el servicio de auditoría:

# service auditd restart

Configuración de regla de auditoría no reflejada:cómo solucionar problemas

Cómo configurar la interfaz en “Modo Promiscuo” en CentOS/RHEL

Cent OS

Cómo ocultar un archivo o directorio en CentOS

Cómo quitar (^M) caracteres de un archivo en Linux

¿Cómo copiar un archivo de otro directorio al actual?

¿Cómo agregar un directorio virtual desde SolidCP?

¿Cómo agregar un directorio virtual desde WebsitePanel 2.1?

Cómo:Configuración básica de archivos de IPTables