11.11. 设置审计来监控软件更新
您可以使用预先配置的规则 44-installers.rules
将 Audit 配置为监控以下安装软件的工具:
-
dnf
[2] -
yum
-
pip
-
npm
-
cpan
-
gem
-
luarocks
要监控 rpm
实用程序,请安装 rpm-plugin-audit
软件包。然后,审计会在安装或升级软件包时生成 SOFTWARE_UPDATE
事件。您可以通过在命令行中输入 ausearch -m SOFTWARE_UPDATE
来列出这些事件。
注意
预配置的规则文件不能用于 ppc64le
和 aarch64
架构的系统。
先决条件
-
auditd
是根据 为安全环境配置 auditd 中提供的设置进行配置的。
流程
将预先配置的规则文件
44-installers.rules
从/usr/share/audit/sample-rules/
目录复制到/etc/audit/rules.d/
目录中:cp /usr/share/audit/sample-rules/44-installers.rules /etc/audit/rules.d/
# cp /usr/share/audit/sample-rules/44-installers.rules /etc/audit/rules.d/
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 加载审计规则:
augenrules --load
# augenrules --load
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
列出载入的规则:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 执行安装,例如:
dnf reinstall -y vim-enhanced
# dnf reinstall -y vim-enhanced
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在审计日志中搜索最近的安装事件,例如:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
[2]
由于
dnf
在 RHEL 中是符号链接,因此 dnf
审计规则中的路径必须包含符号链接的目标。要接收正确的审计事件,请通过将 path=/usr/bin/dnf
路径改为 /usr/bin/dnf-3
来修改 44-installers.rules
文件。