1 auditctlコマンドとは?
Auditの動作に関する設定、およびAuditルールの定義を行うコマンドです。Auditとは、いつ、だれが、何をしたか?という記録を取り、不正なアクセスがなかったかを監査することです。監査した結果はログに記録されます。デフォルトは/var/log/audit/audit.logに出力されます。
Auditに関連するコマンドとして以下のものがあります。
コマンド名 | 概要 |
---|---|
ausearch | 監査ログを検索するためのコマンドです。詳細は、ausearchコマンドの使い方 - hana_shinのLinux技術ブログを参照してください。 |
aureport | audit.logファイルから監査のサマリを作成するコマンドです |
auditctl | Auditデーモンの動作に関する設定、およびAuditルールを定義するコマンドです |
2 検証環境
CentOS版数は以下のとおりです。
[root@server ~]# cat /etc/redhat-release CentOS Linux release 7.9.2009 (Core)
カーネル版数は以下のとおりです。
[root@server ~]# uname -r 3.10.0-1160.el7.x86_64
auditctlコマンドの版数は以下のとおりです。
[root@server ~]# auditctl -v auditctl version 2.8.5
3 オプション一覧
[root@server ~]# auditctl -h usage: auditctl [options] -a <l,a> Append rule to end of <l>ist with <a>ction -A <l,a> Add rule at beginning of <l>ist with <a>ction -b <backlog> Set max number of outstanding audit buffers allowed Default=64 -c Continue through errors in rules -C f=f Compare collected fields if available: Field name, operator(=,!=), field name -d <l,a> Delete rule from <l>ist with <a>ction l=task,exit,user,exclude a=never,always -D Delete all rules and watches -e [0..2] Set enabled flag -f [0..2] Set failure flag 0=silent 1=printk 2=panic -F f=v Build rule: field name, operator(=,!=,<,>,<=, >=,&,&=) value -h Help -i Ignore errors when reading rules from file -k <key> Set filter key on audit rule -l List rules -m text Send a user-space message -p [r|w|x|a] Set permissions filter on watch r=read, w=write, x=execute, a=attribute -q <mount,subtree> make subtree part of mount point's dir watches -r <rate> Set limit in messages/sec (0=none) -R <file> read rules from file -s Report status -S syscall Build rule: syscall name or number -t Trim directory watches -v Version -w <path> Insert watch at <path> -W <path> Remove watch at <path> --loginuid-immutable Make loginuids unchangeable once set --reset-lost Reset the lost record counter
4 ルールについて
4.1 ルールの種類
Auditルールには、以下の3つがあります。
ルール | 概要 |
---|---|
システムコールルール | システムコールに対して監査を行います |
ファイルシステムルール | ファイル、ディレクトリへのアクセスに対して監査を行います |
制御ルール | Auditに関するルールを設定します |
4.4 ルールの設定方法
Auditのルールは、以下の方法で設定することができます。
方法 | 概要 |
---|---|
auditctlコマンドでルールを設定 | OSを再起動すると、ルールが消えます。テスト目的で使います |
/etc/audit/rules.d配下にルールを作成 | OSを再起動しても、ルールは消えません。auditctlコマンドで正しく動作することが確認できたら、こちらの方法を使ってルールを作成します |
5 システムコールルールの使い方
5.1 オプション一覧
オプション | 意味 |
---|---|
-a <アクション>,<リスト> | 追加するアクションとリストをカンマ区切りで指定します。アクションとリストで、特定のイベントが監査ログに記録されるタイミングを指定します |
-d <アクション>,<リスト> | 削除するアクションとリストを指定します |
-k <キー> | ルールを識別するための任意の識別子を指定します |
-F <フィールド=値> | フィールドには、arch,pid,uid等があります。またarchにはb32,b64を指定します。これらを指定することで、発生するイベントを絞り込むことができます |
-S <システムコール名> | システムコール名またはシステムコール番号、またはallを指定します |
- アクション
アクション | 意味 |
---|---|
always | 常に監査ログを生成します |
never | 監査ログを生成しません |
- リスト
リスト | 意味 |
---|---|
task | 子プロセスの生成時、プロセスのコピー時に発生するイベント |
exit | システムコール終了時に発生するイベント |
user | ユーザ空間で発生するイベント |
exclude | 特定のイベントを監査から除外 |
コマンドの書式は以下になります。
# auditctl -a <アクション、リスト> -S <システムコール> -F <フィールド=値> -k <キー>
5.2 監査ログを出力する方法(always)
mkdirシステムコールを実行したら監査ログを出力する、というルールを作成します。
[root@server ~]# auditctl -a always,exit -F arch=b64 -S mkdir -k test1
作成したルールを確認します。
[root@server ~]# auditctl -l -a always,exit -F arch=b64 -S mkdir -F key=test1
テスト用のディレクトリを作成します。
[root@server ~]# mkdir /test
ausearchコマンドを実行して監査ログを確認します。mkdirシステムコール(syscall=mkdir)を実行して、/testディレクトリの作成に成功(success=yes)していることがわかります。
なお、各typeの意味は次のとおりです。
・PROCTITLE:実行したコマンドラインイメージ
・PATH:監査対象のファイル、ディレクトリ
・CWD:コマンドを実行したディレクトリ
・ SYSCALL:実行したシステムコール、実行結果、実行したユーザのuid,gid等
[root@server ~]# mkdir /test [root@server ~]# ausearch -i -k test1 ---- type=CONFIG_CHANGE msg=audit(2022年05月28日 20:07:42.033:121) : auid=root ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key=test1 list=exit res=yes ---- type=PROCTITLE msg=audit(2022年05月28日 20:07:54.453:122) : proctitle=mkdir /test type=PATH msg=audit(2022年05月28日 20:07:54.453:122) : item=1 name=/test inode=8447635 dev=fd:03 mode=dir,755 ouid=root ogid=root rdev=00:00 obj=unconfined_u:object_r:default_t:s0 objtype=CREATE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=PATH msg=audit(2022年05月28日 20:07:54.453:122) : item=0 name=/ inode=64 dev=fd:03 mode=dir,555 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:root_t:s0 objtype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=CWD msg=audit(2022年05月28日 20:07:54.453:122) : cwd=/root type=SYSCALL msg=audit(2022年05月28日 20:07:54.453:122) : arch=x86_64 syscall=mkdir success=yes exit=0 a0=0x7ffc765bb83f a1=0777 a2=0x1ff a3=0x7ffc765b9d20 items=2 ppid=1086 pid=1111 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=1 comm=mkdir exe=/usr/bin/mkdir subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test1
テスト用に作成したルールを削除します。
[root@server ~]# auditctl -D
5.3 監査ログを出力しない方法(never)
mkdirシステムコールを実行したら監査ログを出力しない、というルールを作成します。
[root@server ~]# auditctl -a never,exit -F arch=b64 -S mkdir -k test2
作成したルールを確認します。
[root@server ~]# auditctl -l -a never,exit -F arch=b64 -S mkdir -F key=test2
テスト用のディレクトリを作成します。
[root@server ~]# mkdir /test
ausearchコマンドを実行して監査ログを確認します。mkdirシステムコールの監査ログは出力されないことがわかります。ルールを変更した旨の監査ログだけが出力されています。
[root@server ~]# ausearch -k test2 ---- time->Sat May 28 19:08:01 2022 type=CONFIG_CHANGE msg=audit(1653732481.674:192): auid=0 ses=4 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key="test2" list=4 res=1
テスト用のディレクトリを削除します。
[root@server ~]# rmdir /test
テスト用に作成したルールを削除します。
[root@server ~]# auditctl -D
5.4 uidの使い方
テスト用のディレクトリを作成します。
[root@server ~]# mkdir /test
テスト用のユーザを作成します。
[root@server ~]# useradd user1
テスト用に作成したユーザのuidを確認します。user1ユーザのuidは、1000であることがわかります。
[root@server ~]# id user1 uid=1000(user1) gid=1000(user1) groups=1000(user1)
uidが1000のユーザがopenシステムコールを実行したら監査ログを出力する、というルールを作成します。
[root@server ~]# auditctl -a always,exit -F uid=1000 -F arch=b64 -S open -k test3
作成したルールを確認します。
[root@server ~]# auditctl -l -a always,exit -F arch=b64 -S open -F uid=1000 -F key=test3
rootで/tmpディレクトレイに対してlsコマンドを実行します。
[root@server ~]# ls /test
rootユーザの場合、監査ログが出力されないことがわかります(期待値)。
[root@server ~]# ausearch -i -k test3 ---- type=CONFIG_CHANGE msg=audit(2022年05月28日 19:13:43.463:140) : auid=root ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key=test3 list=exit res=yes
ユーザをuser1に切り替えます。
[root@server ~]# su - user1 [user1@server ~]$
user1で/testディレクトレイに対してlsコマンドを実行します。
[user1@server ~]$ ls /test
ausearchコマンドを実行して監査ログを確認します。user1ユーザの場合、監査ログが出力されることがわかります(期待値)。
[root@server ~]# ausearch -i -k test3 -snip- ---- type=PROCTITLE msg=audit(2022年05月28日 20:45:24.973:283) : proctitle=ls --color=auto /test type=PATH msg=audit(2022年05月28日 20:45:24.973:283) : item=0 name=/etc/ld.so.cache inode=4961070 dev=fd:03 mode=file,644 ouid=root ogid=root rdev=00:00 obj=unconfined_u:object_r:ld_so_cache_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=CWD msg=audit(2022年05月28日 20:45:24.973:283) : cwd=/home/user1 type=SYSCALL msg=audit(2022年05月28日 20:45:24.973:283) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bac5b5a4 a1=O_RDONLY|O_CLOEXEC a2=0x1 a3=0x7f67bae614f8 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 ---- type=PROCTITLE msg=audit(2022年05月28日 20:45:24.973:284) : proctitle=ls --color=auto /test type=PATH msg=audit(2022年05月28日 20:45:24.973:284) : item=0 name=/lib64/libselinux.so.1 inode=35076 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=CWD msg=audit(2022年05月28日 20:45:24.973:284) : cwd=/home/user1 type=SYSCALL msg=audit(2022年05月28日 20:45:24.973:284) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae5e640 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae61150 a3=0x7f67bae5e640 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 ---- type=PROCTITLE msg=audit(2022年05月28日 20:45:24.974:285) : proctitle=ls --color=auto /test type=PATH msg=audit(2022年05月28日 20:45:24.974:285) : item=0 name=/lib64/libcap.so.2 inode=35212 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=CWD msg=audit(2022年05月28日 20:45:24.974:285) : cwd=/home/user1 type=SYSCALL msg=audit(2022年05月28日 20:45:24.974:285) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae5eb08 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae61150 a3=0x7f67bae5eb08 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 ---- type=PROCTITLE msg=audit(2022年05月28日 20:45:24.974:286) : proctitle=ls --color=auto /test type=PATH msg=audit(2022年05月28日 20:45:24.974:286) : item=0 name=/lib64/libacl.so.1 inode=35209 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=CWD msg=audit(2022年05月28日 20:45:24.974:286) : cwd=/home/user1 type=SYSCALL msg=audit(2022年05月28日 20:45:24.974:286) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae5efd0 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae61150 a3=0x7f67bae5efd0 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 ---- type=PROCTITLE msg=audit(2022年05月28日 20:45:24.974:287) : proctitle=ls --color=auto /test type=PATH msg=audit(2022年05月28日 20:45:24.974:287) : item=0 name=/lib64/libc.so.6 inode=34967 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=CWD msg=audit(2022年05月28日 20:45:24.974:287) : cwd=/home/user1 type=SYSCALL msg=audit(2022年05月28日 20:45:24.974:287) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae564b0 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae61150 a3=0x7f67bae564b0 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 ---- type=PROCTITLE msg=audit(2022年05月28日 20:45:24.976:288) : proctitle=ls --color=auto /test type=PATH msg=audit(2022年05月28日 20:45:24.976:288) : item=0 name=/lib64/libpcre.so.1 inode=35060 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=CWD msg=audit(2022年05月28日 20:45:24.976:288) : cwd=/home/user1 type=SYSCALL msg=audit(2022年05月28日 20:45:24.976:288) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae56978 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae5e658 a3=0x7f67bae56978 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 ---- type=PROCTITLE msg=audit(2022年05月28日 20:45:24.976:289) : proctitle=ls --color=auto /test type=PATH msg=audit(2022年05月28日 20:45:24.976:289) : item=0 name=/lib64/libdl.so.2 inode=34973 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=CWD msg=audit(2022年05月28日 20:45:24.976:289) : cwd=/home/user1 type=SYSCALL msg=audit(2022年05月28日 20:45:24.976:289) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae56e40 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae5e658 a3=0x7f67bae56e40 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 ---- type=PROCTITLE msg=audit(2022年05月28日 20:45:24.976:290) : proctitle=ls --color=auto /test type=PATH msg=audit(2022年05月28日 20:45:24.976:290) : item=0 name=/lib64/libattr.so.1 inode=35207 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=CWD msg=audit(2022年05月28日 20:45:24.976:290) : cwd=/home/user1 type=SYSCALL msg=audit(2022年05月28日 20:45:24.976:290) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae55508 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae5eb20 a3=0x7f67bae55508 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 ---- type=PROCTITLE msg=audit(2022年05月28日 20:45:24.976:291) : proctitle=ls --color=auto /test type=PATH msg=audit(2022年05月28日 20:45:24.976:291) : item=0 name=/lib64/libpthread.so.0 inode=34993 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=CWD msg=audit(2022年05月28日 20:45:24.976:291) : cwd=/home/user1 type=SYSCALL msg=audit(2022年05月28日 20:45:24.976:291) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae55a68 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae56990 a3=0x7f67bae55a68 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 ---- -snip-
テスト用に作成したルールを削除します。
[root@server ~]# auditctl -D
6 ファイルシステムルールの使い方
6.1 オプション一覧
オプション | 意味 |
---|---|
-w <ファイル名> | 監査対象とするファイルやディレクトリを指定します |
-k <キー> | ルールを識別するための任意の識別子を指定します |
-p <パーミッション> | パーミッションを指定します。-r:読み取り、w:書き込み、x:実行、a:属性変更 |
コマンドの書式は以下になります。
# auditctl -w <ファイル/ディレクトリ> -p <パーミッション> -k <キー>
6.2 ファイルに対する監査
ファイルをリードしたら、監査結果をログに出力してみます。
テスト用のディレクトリを作成します。
[root@server ~]# mkdir /test
テスト用のファイルを作成します。
[root@server ~]# touch /test/aa.txt
テスト用ファイルをリードしたら監査ログを出力するルールを作成します。
[root@server ~]# auditctl -w /test/aa.txt -p r -k test4
作成したルールを確認します。
[root@server ~]# auditctl -l -w /test/aa.txt -p r -k test4
テスト用ファイルを読み込んでみます。
[root@server ~]# cat /test/aa.txt 1
ausearchコマンドを実行して監査ログを確認します。openシステムコールで/test/aa.txtをオープンしていることがわかります。そして、openシステムコールの実行は成功(success=yes)しており、戻り値(exit)としてファイルディスクリプタ3を返していることがわかります。なお、ausearchコマンドの使い方は、ausearchコマンドの使い方 - hana_shinのLinux技術ブログを参照してください。
[root@server ~]# ausearch -i -k test4 ---- type=CONFIG_CHANGE msg=audit(2022年05月28日 19:34:28.689:273) : auid=root ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key=test4 list=exit res=yes ---- type=PROCTITLE msg=audit(2022年05月28日 19:35:01.662:274) : proctitle=cat /test/aa.txt type=PATH msg=audit(2022年05月28日 19:35:01.662:274) : item=0 name=/test/aa.txt inode=8447636 dev=fd:03 mode=file,644 ouid=root ogid=root rdev=00:00 obj=unconfined_u:object_r:default_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=CWD msg=audit(2022年05月28日 19:35:01.662:274) : cwd=/root type=SYSCALL msg=audit(2022年05月28日 19:35:01.662:274) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7ffe34a2383c a1=O_RDONLY a2=0x1fffffffffff0000 a3=0x7ffe34a21820 items=1 ppid=1110 pid=1172 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts1 ses=2 comm=cat exe=/usr/bin/cat subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test4
テスト用ファイルを削除します。
[root@server ~]# rm /test/aa.txt
テスト用に作成したルールを削除します。
[root@server ~]# auditctl -D
6.3 ディレクトリに対する監査
テスト用ディレクトリ(/test)をリードしたら監査ログを出力するルールを作成します。
[root@server ~]# auditctl -w /test -p r -k test5
作成したルールを確認します。
[root@server ~]# auditctl -l -w /test -p r -k test5
/testディレクトリをリードしてみます。
[root@server ~]# ls /test
ausearchコマンドを実行して監査ログを確認します。openatシステムコールを使って、/testディレクトリをオープンしていることがわかります。そして、openatシステムコールの実行は成功(success=yes)しており、戻り値(exit)としてファイルディスクリプタ3を返していることがわかります。
[root@server ~]# ausearch -i -k test5 ---- type=CONFIG_CHANGE msg=audit(2022年05月28日 19:42:36.951:140) : auid=root ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key=test5 list=exit res=yes ---- type=PROCTITLE msg=audit(2022年05月28日 19:42:46.477:141) : proctitle=ls --color=auto /test type=PATH msg=audit(2022年05月28日 19:42:46.477:141) : item=0 name=/test inode=8447635 dev=fd:03 mode=dir,755 ouid=root ogid=root rdev=00:00 obj=unconfined_u:object_r:default_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 type=CWD msg=audit(2022年05月28日 19:42:46.477:141) : cwd=/root type=SYSCALL msg=audit(2022年05月28日 19:42:46.477:141) : arch=x86_64 syscall=openat success=yes exit=3 a0=0xffffffffffffff9c a1=0x19bd5e0 a2=O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC a3=0x0 items=1 ppid=1082 pid=1130 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=1 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test5
テスト用に作成したルールを削除します。
[root@server ~]# auditctl -D
Z 参考情報
私が業務や記事執筆で参考にした書籍を以下のページに記載します。
Linux技術のスキルアップをしよう! - hana_shinのLinux技術ブログ