SELINUXとAuditd

Auditd

外部からの脅威を念頭にネットワークの周囲に侵入検出システムやファイヤウォールやウィルス・スキャナーを張り巡らせただけで安心してはならず、認可した利用者についても監視する

概要

Linux Auditデーモンの基礎は、カーネルに対して発行されるシステム・コールのすべてを監視することにある。システム・コールというのはユーザー空間で動作しているプログラムがカーネルの機能を利用するための手段で、アプリケーションは直接または間接にこのシステム・コールを介してカーネルの提供するシステム資源への低レベル・アクセスを利用する。Linux Auditデーモンは、この仕組みを利用しているわけだ。このLinux AuditデーモンをSecurity-Enhanced LinuxSELinux)に組み込むと、SELinuxポリシーに対する違反を記録することができる。

デフォルトのままの場合、SELinuxポリシー違反を記録することになる。Linux Auditサブシステムのソース・パッケージには、あらかじめ、監査構成ルールが含まれており、重要なシステム・ファイルへのアクセス、ファイル・パーミッションの変更、ファイルの位置の変更、ファイル・システムのマウントとアンマウントを監視するルールが記述されている。これを基にして指定するとよいだろう。

参考

osdn.jp