主页
产品
Red Hat Enterprise Linux
9
安全强化
11.11. 设置审计来监控软件更新

11.11. 设置审计来监控软件更新

您可以使用预先配置的规则 44-installers.rules 将 Audit 配置为监控以下安装软件的工具：

dnf ^[2]
yum
pip
npm
cpan
gem
luarocks

要监控 rpm 实用程序，请安装 rpm-plugin-audit 软件包。然后，审计会在安装或升级软件包时生成 SOFTWARE_UPDATE 事件。您可以通过在命令行中输入 ausearch -m SOFTWARE_UPDATE 来列出这些事件。

注意

预配置的规则文件不能用于 ppc64le 和 aarch64 架构的系统。

先决条件

auditd 是根据为安全环境配置 auditd 中提供的设置进行配置的。

流程

将预先配置的规则文件 44-installers.rules 从 /usr/share/audit/sample-rules/ 目录复制到 /etc/audit/rules.d/ 目录中：
```
cp /usr/share/audit/sample-rules/44-installers.rules /etc/audit/rules.d/
```
```
# cp /usr/share/audit/sample-rules/44-installers.rules /etc/audit/rules.d/
```
Copy to Clipboard Toggle word wrap
加载审计规则：
```
augenrules --load
```
```
# augenrules --load
```
Copy to Clipboard Toggle word wrap

验证

列出载入的规则：

auditctl -l

# auditctl -l
-p x-w /usr/bin/dnf-3 -k software-installer
-p x-w /usr/bin/yum -k software-installer
-p x-w /usr/bin/pip -k software-installer
-p x-w /usr/bin/npm -k software-installer
-p x-w /usr/bin/cpan -k software-installer
-p x-w /usr/bin/gem -k software-installer
-p x-w /usr/bin/luarocks -k software-installer

Copy to Clipboard

Toggle word wrap

执行安装，例如：
```
dnf reinstall -y vim-enhanced
```
```
# dnf reinstall -y vim-enhanced
```
Copy to Clipboard Toggle word wrap

在审计日志中搜索最近的安装事件，例如：

ausearch -ts recent -k software-installer

# ausearch -ts recent -k software-installer
––––
time->Thu Dec 16 10:33:46 2021
type=PROCTITLE msg=audit(1639668826.074:298): proctitle=2F7573722F6C6962657865632F706C6174666F726D2D707974686F6E002F7573722F62696E2F646E66007265696E7374616C6C002D790076696D2D656E68616E636564
type=PATH msg=audit(1639668826.074:298): item=2 name="/lib64/ld-linux-x86-64.so.2" inode=10092 dev=fd:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1639668826.074:298): item=1 name="/usr/libexec/platform-python" inode=4618433 dev=fd:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1639668826.074:298): item=0 name="/usr/bin/dnf" inode=6886099 dev=fd:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:rpm_exec_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1639668826.074:298): cwd="/root"
type=EXECVE msg=audit(1639668826.074:298): argc=5 a0="/usr/libexec/platform-python" a1="/usr/bin/dnf" a2="reinstall" a3="-y" a4="vim-enhanced"
type=SYSCALL msg=audit(1639668826.074:298): arch=c000003e syscall=59 success=yes exit=0 a0=55c437f22b20 a1=55c437f2c9d0 a2=55c437f2aeb0 a3=8 items=3 ppid=5256 pid=5375 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=3 comm="dnf" exe="/usr/libexec/platform-python3.6" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="software-installer"

Copy to Clipboard

Toggle word wrap

^[2] 由于dnf 在 RHEL 中是符号链接，因此 dnf 审计规则中的路径必须包含符号链接的目标。要接收正确的审计事件，请通过将 path=/usr/bin/dnf 路径改为 /usr/bin/dnf-3 来修改 44-installers.rules 文件。

返回顶部

11.11. 设置审计来监控软件更新

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links