[Linux-sunucu] auditd dosyadaki değişimlerin loglanması mümkün mü ?

Selçuk Mıynat selcukmiynat at gmail.com
22 Mar 2022 Sal 22:47:20 +03 

Selam,

On Sat, 20 Feb 2021 at 18:25, Mehmet Başaran <mehmet94nto at gmail.com> wrote:

> Merhaba,
> sunuculardaki config dosyalarında yapılan değişimleri takip etmek istiyorum
> auditctl -w /etc/nagios/nrpe.cfg -k test2
> ausearch -k test2 | aureport -f -i
> son raporlama komutu  test2 etiketinin dosyasında (nrpe.cfg)  erişimler ve
> değişiklikleri  hangi saatte hangi userla(hangi userla o makinaya
> bağlanılmış ise bu userın adı veya uidsi)  ve dosyada ne işlem yapıldığını
> listeliyor,
> Benim yapmaya çalıştığım ise  bu dosyada yapılan değişikliği de göstermesi
> bunu nasıl yapabilirim bulamadım, ve mümkünse  sadece değişiklik yapılmış
> ise bunu göstermesi yani dosyanın okunması veya kopyalanması vb.(dosyada
> bir değişiklik yapılmadı ise) önemli değil sadece yazma veya ekleme
> yapıldıysa bunları görmem yeterli,
>

 > auditctl -w /etc/nagios/nrpe.cfg -k test2

Burada -p parametresini de ekleyerek, hangi aktiviteleri loglamak
istediginizi de belirtmelisiniz:

Su sayfadaki **Defining File System Rules** bölümüne bakabilirsiniz
referans olarak:

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls#sec-Defining_Audit_Rules_with_auditctl

Kolay gelsin,

On Sun, 21 Feb 2021 at 14:20, Mehmet Başaran <mehmet94nto at gmail.com> wrote:

> etckeeper + git ile tüm değişiklikleri  yakalıyor fakat yapılan
> değişikliği değişikliği hangi userın(login olunan userın) yaptığını
> yakalayamıyor,
> örneğin  bu değişikliği ben olusturduğum etctest userı ile  root olup
> yaptım fakar auto commit çalıştığında  resimdeki gibi rootun comitlediğini
> görüyoruz
> [image: image.png]
> bir kullanıcı ile su root ile root olduktan sonra  manuel comitlendiğinde
> ise  istediğim gibi o kullanıcının commitlediğini görüyorum,
> [image: image.png]
> [image: image.png]
> Benim amacım hem yapılan tüm değişiklikleri  kaydedebilmek (etckeeper bunu
> tam olarak sağlıyor) hemde  yapılan değişikliğin hangi userla
> yapıldığını takip etmek(userların hemen hepsinin sudo yetkisi olduğu
> için yapılan işlemler genellikle root a geçilip yapılıyor, dolayısıyla
> hangi user ile login olundu ise onu tespit etmem gerekiyor işlemi yapan o
> olduğu için) bunu autocommit yapamıyor, bunun için(o değişikliği kim yaptı
> ise bunu da bir şekilde commit'te dahil etme veya her değişiklikte
> commit'leme vb. tüm çözümler olabilir) bir konfigürasyon mu yapmak
> gerekiyor ?
> Yaptığım araştırmada bununla ilgili bir bilgi bulamadım, bir döküman varsa
> paylaşabilir misiniz.
> Yönlendirmeniz ve yardımınız için teşekkür ederim.
>
> Mehmet Başaran <mehmet94nto at gmail.com>, 20 Şub 2021 Cmt, 20:46 tarihinde
> şunu yazdı:
>
>> Teşekkürler hocam.
>>
>> 20 Şub 2021 Cmt 20:38 tarihinde Abdullah Ülker (Yandex) <
>> abdullahulker at yandex.com> şunu yazdı:
>>
>>> Size etckeeper önerebilirim.
>>>
>>>
>>> https://topluluk.ozguryazilim.com.tr/wp-content/sunumlar/sunucu-ayarlari/#(1)
>>>
>>> Doruk hocamızın sunumu.
>>>
>>>
>>> 20 Şubat 2021 20:25:03 GMT+03:00, "Mehmet Başaran" <
>>> mehmet94nto at gmail.com> yazdı:
>>>>
>>>> Merhaba,
>>>> sunuculardaki config dosyalarında yapılan değişimleri takip etmek
>>>> istiyorum bunun için yaptığım araştırmada,
>>>> svn  ile dosyada değişiklik yapıldığında mail attırma vb çözümleri
>>>> buldum fakat burada sıkıntı değişimi kimin yaptığının tespit edilememesi
>>>> durumuydu,
>>>> Bunun üzerine auditd ile bu dosyaları takip edilebileceğini öğrendim,
>>>> bu dosyalara yapılan erişimleri ve dosyalarda değişiklik yapılıp
>>>> yapılmadığını takip edebiliyorum, ama dosyada yapılan değişikliğin ne
>>>> olduğunu ya takip ettiremedim yada raporlayamadım,
>>>> Yapılan işlemler aşağıdaki gibidir;
>>>> apt install auditd
>>>> systemctl start auditd
>>>> auditctl -w /etc/nagios/nrpe.cfg -k test2
>>>> ausearch -k test2 | aureport -f -i
>>>> son raporlama komutu  test2 etiketinin dosyasında (nrpe.cfg)  erişimler
>>>> ve değişiklikleri  hangi saatte hangi userla(hangi userla o makinaya
>>>> bağlanılmış ise bu userın adı veya uidsi)  ve dosyada ne işlem yapıldığını
>>>> listeliyor,
>>>> Benim yapmaya çalıştığım ise  bu dosyada yapılan değişikliği de
>>>> göstermesi bunu nasıl yapabilirim bulamadım, ve mümkünse  sadece değişiklik
>>>> yapılmış ise bunu göstermesi yani dosyanın okunması veya kopyalanması
>>>> vb.(dosyada bir değişiklik yapılmadı ise) önemli değil sadece yazma veya
>>>> ekleme yapıldıysa bunları görmem yeterli,
>>>> Çalıştığım sunucu Ubuntu 20.04.1 LTS, Linux 5.4.0-65-generic
>>>> Yardımınız için teşekkür ederim.
>>>>
>>>
>>> --
>>> Android için K-9 Posta'dan gönderildi. Lütfen bu kısa notumu mazur görün.
>>> _______________________________________________
>>> Linux-sunucu E-Posta Listesi
>>> Linux-sunucu at liste.linux.org.tr
>>>
>>> Liste kurallarını http://liste.linux.org.tr/kurallar.php
>>> bağlantısından okuyabilirsiniz;
>>>
>>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden
>>> gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini
>>> kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz.
>>> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>>>
>> _______________________________________________
> Linux-sunucu E-Posta Listesi
> Linux-sunucu at liste.linux.org.tr
>
> Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından
> okuyabilirsiniz;
>
> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
> dakika içinde üyeliğinizi sonlandırabilirsiniz.
> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>


-- 
Selçuk Mıynat
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: <http://liste.linux.org.tr/pipermail/linux-sunucu/attachments/20220322/25dc1b05/attachment-0006.htm>
-------------- sonraki bölüm --------------
A non-text attachment was scrubbed...
Name: image.png
Type: image/png
Size: 6244 bytes
Desc: kullanılamıyor
URL: <http://liste.linux.org.tr/pipermail/linux-sunucu/attachments/20220322/25dc1b05/attachment-0018.png>
-------------- sonraki bölüm --------------
A non-text attachment was scrubbed...
Name: image.png
Type: image/png
Size: 5364 bytes
Desc: kullanılamıyor
URL: <http://liste.linux.org.tr/pipermail/linux-sunucu/attachments/20220322/25dc1b05/attachment-0019.png>
-------------- sonraki bölüm --------------
A non-text attachment was scrubbed...
Name: image.png
Type: image/png
Size: 46874 bytes
Desc: kullanılamıyor
URL: <http://liste.linux.org.tr/pipermail/linux-sunucu/attachments/20220322/25dc1b05/attachment-0020.png>

More information about the Linux-sunucu mailing list