puede auditar eventos de seguimiento que ocurrieron en NFS

5

Tengo varios servidores que montan un NFS compartido llamado / opt / WHATEVER from Server X.

El servidor X tiene auditd habilita con la regla: sudo / sbin / auditctl -w / opt / WHATEVER -p rwxa

Cuando ocurren eventos en el servidor X en esa carpeta, funciona muy bien. Sin embargo, cuando cualquier otra máquina accede o cambia algo, nada se reporta. El servidor X y otros tienen el mismo camino. es decir, / opt / WHATEVER

¿Cómo puede habilitar auditd para rastrear eventos desde NFS?

    
pregunta Takadonet 30.05.2012 - 17:05
fuente

1 respuesta

3

Al igual que la recursión, para entender auditd, primero debes entender auditd. Auditd es la interfaz de un módulo del kernel que intercepta / monitorea las llamadas al sistema e informa sobre ellas. Es decir, la opción -w no realiza continuamente un ls , md5sum , o similar en el destino, le indica al módulo del kernel que informe sobre los intentos de realizar llamadas de acceso a archivos, como abrir () o creat (), en el target. Al traducir esta información a su pregunta, esto significa que auditd no puede detectar los cambios que realizan los hosts remotos de esta manera. Esas llamadas al sistema están ocurriendo en el sistema remoto.

Para realizar el tipo de monitoreo que desea, deberá configurar auditd en los hosts remotos para monitorear el montaje nfs localmente. Lo que debe hacer entonces es registrar todos los hosts que ejecutan auditd en un host de registro central, utilizando algo como audisp-remote. Luego, los registros se pueden buscar y correlacionar más fácilmente.

    
respondido por el Scott Pack 01.06.2012 - 02:42
fuente

Lea otras preguntas en las etiquetas