home.social

#auditd — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #auditd, aggregated by home.social.

  1. Detection of #CopyFail using #Linux #auditd rules:

    -a always,exit -F arch=b64 -S bind -F a2=88 -F key=alg_bind
    -a always,exit -F arch=b64 -S setsockopt -F a1=279 -F key=alg_setsockopt
    

    That makes sense even if you’re all patched up, as you still want to know that someone with local shell is trying.

    Posted by Weston Walker https://xcancel.com/westonlwalker/status/2049931249180119321?s=20

  2. Tetragon: лучшие практики и нюансы разработки Tracing Policy

    Привет! Меня зовут Виталий Шишкин, я эксперт продукта Container Security в Positive Technologies. За годы работы над продуктом MaxPatrol 10 мы строили аудит Linux на базе подсистемы Auditd, которая решала свою задачу и достаточно просто настраивалась, но ситуация поменялась с появлением контейнеров, которые Auditd корректно поддерживать не умеет. Поэтому эта задача потребовала не просто смену решения для аудита системы, но и создание целого продукта, который сможет учитывать особенности Kubernetes и используемые им технологии ядра Linux.

    habr.com/ru/companies/pt/artic

    #tetragon #linux #cloud_native #информационная_безопасность #аудит_безопасности #kubernetes #auditd #kprobes #ebpf

  3. Сбор событий Linux: есть цель – ищем путь

    Приветствую всех, кто заглянул на огонек! Меня зовут Роман, и я занимаюсь исследованием безопасности Linux (и всякого другого, связанного с ним) в экспертном центре безопасности в Positive Technologies. Мне периодически приходится сталкиваться с вопросами клиентов или коллег из смежных отделов по поводу оптимизации работы различных компонентов журналирования внутри Linux. Поэтому в какой-то момент возникла идея обрисовать как минимум для самого себя целостную картину их взаимодействия и влияния друг на друга. Результатом работы стала довольно компактная схема, которая помогает оперативнее и эффективнее отвечать на возникающие вопросы для решения проблем. В статье я постараюсь вкратце описать каждый ее блок. Не ручаюсь за то, что будут затронуты все тонкости, известные лишь узкому кругу специалистов. Но на большую часть вопросов я отвечу.

    habr.com/ru/companies/pt/artic

    #linux #siem #auditd #syslog #journald #администрирование_linuxсистем

  4. Скрипт, который следит за тобой: автоматический аудит действий в Linux

    Привет, Хабр! В данной статье хочу разобрать auditd - полезный инструмент аудита в Linux, который записывает каждое действие, а скрипт превратит логи в читаемые отчёты и алерты. Linux-сервер без мониторинга активности пользователей — как дом с открытыми окнами. Проблемы, которые помогает решить auditd : - Несанкционированный доступ (кто и когда использовать, например, sudo ) - Подозрительные команды ( rm -rf , изменение прав, доступ к каким-либо файлам) - Расследование инцидентов (кто что натыкал перед падением сервера) - Соответствие корпоративным стандартам (возможно, ИБ требует логирования действий или вы любите контроль) Решение: auditd + Python-скрипт для анализа и алертов.

    habr.com/ru/articles/925962/

    #auditd #linux #безопасность #логирование #алерты

  5. Скрипт, который следит за тобой: автоматический аудит действий в Linux

    Привет, Хабр! В данной статье хочу разобрать auditd - полезный инструмент аудита в Linux, который записывает каждое действие, а скрипт превратит логи в читаемые отчёты и алерты. Linux-сервер без мониторинга активности пользователей — как дом с открытыми окнами. Проблемы, которые помогает решить auditd : - Несанкционированный доступ (кто и когда использовать, например, sudo ) - Подозрительные команды ( rm -rf , изменение прав, доступ к каким-либо файлам) - Расследование инцидентов (кто что натыкал перед падением сервера) - Соответствие корпоративным стандартам (возможно, ИБ требует логирования действий или вы любите контроль) Решение: auditd + Python-скрипт для анализа и алертов.

    habr.com/ru/articles/925962/

    #auditd #linux #безопасность #логирование #алерты

  6. Скрипт, который следит за тобой: автоматический аудит действий в Linux

    Привет, Хабр! В данной статье хочу разобрать auditd - полезный инструмент аудита в Linux, который записывает каждое действие, а скрипт превратит логи в читаемые отчёты и алерты. Linux-сервер без мониторинга активности пользователей — как дом с открытыми окнами. Проблемы, которые помогает решить auditd : - Несанкционированный доступ (кто и когда использовать, например, sudo ) - Подозрительные команды ( rm -rf , изменение прав, доступ к каким-либо файлам) - Расследование инцидентов (кто что натыкал перед падением сервера) - Соответствие корпоративным стандартам (возможно, ИБ требует логирования действий или вы любите контроль) Решение: auditd + Python-скрипт для анализа и алертов.

    habr.com/ru/articles/925962/

    #auditd #linux #безопасность #логирование #алерты

  7. Скрипт, который следит за тобой: автоматический аудит действий в Linux

    Привет, Хабр! В данной статье хочу разобрать auditd - полезный инструмент аудита в Linux, который записывает каждое действие, а скрипт превратит логи в читаемые отчёты и алерты. Linux-сервер без мониторинга активности пользователей — как дом с открытыми окнами. Проблемы, которые помогает решить auditd : - Несанкционированный доступ (кто и когда использовать, например, sudo ) - Подозрительные команды ( rm -rf , изменение прав, доступ к каким-либо файлам) - Расследование инцидентов (кто что натыкал перед падением сервера) - Соответствие корпоративным стандартам (возможно, ИБ требует логирования действий или вы любите контроль) Решение: auditd + Python-скрипт для анализа и алертов.

    habr.com/ru/articles/925962/

    #auditd #linux #безопасность #логирование #алерты

  8. I’ve been looking at HIDS functionality similar to that provided by #auditd# on #Linux which is quite extensive and well supported by distros.

    Comes out #FreeBSD has a system call auditing subsystem that on its own is quite limited, but there’s a port called bsmtrace which looks pretty useful even if a bit abandoned 🤔

  9. I have just published version 0.7.2 of Laurel, the #Linux #auditd post-processing plugin. Enjoy useful, enriched, JSON-formatted audit logs suitable for threat detection in modern #SIEM setups. Laurel is written in #Rust.

    github.com/threathunters-io/la

    New features and fixes include
    - New configuration option to filter events based on IP addresses, ports in SOCKADDR messages
    - Bug fixes to avoid wrong/misleading SYSCALL.SCRIPT enrichments

  10. lazyjournal — ленивый интерфейс для поиска и анализа логов

    Ранее, я уже писал статью о различных способах, которые мне приходилось использовать для чтения логов, и к какому решению в итоге пришел. Хотя прошло не так много времени, с тех пор приложение не переставало развиваться. Узнав о том, что на Хабре проходит сезон Open source , мне показалось это отличным поводом подчеркнуть, что именно стало причиной для создания данного инструмента, а также рассказать немного подробнее про основные и новые функции.

    habr.com/ru/articles/899750/

    #сезон_open_source #golang #tui #journalctl #journald #auditd #docker #логи #мониторинг

  11. I have just released version 0.7.0 of Laurel, the #Linux #auditd post-processing plugin. Enjoy useful, enriched, JSON-formatted audit logs suitable for threat detection in modern #SIEM setups. Laurel is written in #Rust.

    github.com/threathunters-io/la

    New features and fixes include
    - Save state across restarts
    - Apply labels for executables to processes found in /proc
    - Fix parsing errors in some non-"enriched" messages from auditd
    - Fix missing user/group translations
    - More flexible permissions for log files
    - SELinux and AppArmor policy updates
    - Configurable build identifier

  12. Version 0.6.5 of Laurel, the #Linux #auditd post-processing plugin is out. Enjoy useful, enriched, JSON-formatted audit logs suitable for threat detection in modern #SIEM setups.

    New features and fixes include:
    - Processes running as part of systemd services get service information added as part of the PID enrichment
    - Translate IO_URING operations (like auditd 3.1+)
    - Option to use a prefix instead of capitalized key names for enriched/translated data
    - Improve process tracking reliability by handling SYSCALL audit messages as early as possible
    - Improve caching in user/group lookups

    github.com/threathunters-io/la

  13. Два столпа Linux мониторинга

    И снова здравствуйте! Продолжаем наш цикл статей о методах сбора данных (Прошлые статьи здесь и здесь ). В данной (третьей) статье опубликована сжатая аналитика по двум технологиям сбора на Linux Endpoint на основе проработки наших продуктов по лог-менеджменту и сбору событий.

    habr.com/ru/companies/security

    #ebpf #auditd #мониторинг #журнал_событий #журналирование #ausearch #linux #linux_kernel #трассировка

  14. Version 0.6.4 of Laurel, the #Linux #auditd post-processing plugin is out, github.com/threathunters-io/la. Enjoy useful, enriched, JSON-formatted audit logs suitable for threat detection in modern #SIEM setups.

    New features and fixes include:
    - Log to an external program or script
    - Add/remove process labels based on command line (execve() argv argument)
    - Fixed a bug in tracking of processes across double-forks (shell scripts, sudo, etc.)
    - Fixed permission problem when tracking log files using tail
    - The parser for Linux Audit logs has been split off into a separate library (i.e. Rust crate)

  15. Some various performance improvements for Debian 12 Bookworm

    Here some various improvements I implemented on some of my Debian 12 Bookworm servers in order to improve performance.

    zswap: use zsmalloc allocator with newer kernel

    If your system has little memory, you might be using zswap already. When memory is getting full, the system will try to swap out less used data from memory to a compressed swap in memory instead of writing it immediately to a […]

    blog.frehi.be/2024/11/29/some-

    #auditd #Debian #Linux #memory #performance #systemd #zswap

  16. If you're interested in getting into #Linux #logging and evidence collection, this is an excellent write-up from @kostastsale that compares #EVTX logs on Windows with #Auditd, #SysMon for Linux, and native Linux logging.

    #DFIR #LinuxForensics #SIEM #CSIRT

    kostas-ts.medium.com/telemetry

  17. If you're interested in getting into #Linux #logging and evidence collection, this is an excellent write-up from @kostastsale that compares #EVTX logs on Windows with #Auditd, #SysMon for Linux, and native Linux logging.

    #DFIR #LinuxForensics #SIEM #CSIRT

    kostas-ts.medium.com/telemetry

  18. If you're interested in getting into #Linux #logging and evidence collection, this is an excellent write-up from @kostastsale that compares #EVTX logs on Windows with #Auditd, #SysMon for Linux, and native Linux logging.

    #DFIR #LinuxForensics #SIEM #CSIRT

    kostas-ts.medium.com/telemetry

  19. If you're interested in getting into #Linux #logging and evidence collection, this is an excellent write-up from @kostastsale that compares #EVTX logs on Windows with #Auditd, #SysMon for Linux, and native Linux logging.

    #DFIR #LinuxForensics #SIEM #CSIRT

    kostas-ts.medium.com/telemetry

  20. If you're interested in getting into #Linux #logging and evidence collection, this is an excellent write-up from @kostastsale that compares #EVTX logs on Windows with #Auditd, #SysMon for Linux, and native Linux logging.

    #DFIR #LinuxForensics #SIEM #CSIRT

    kostas-ts.medium.com/telemetry

  21. Version 0.6.3 of Laurel, the #Linux #auditd post-processing plugin is out, github.com/threathunters-io/la. Enjoy useful, enriched, JSON-formatted audit logs suitable for modern #SIEM setups.

    This is a bugfix/maintenance release:
    - Fix log file ACLs causing fatal errors with broken NSS backends
    - SELinux policy updates
    - Small documentation updates

  22. Начинаем утреннюю зарядку для тех, кто смотрит нас вечером, или основы сбора логов в ОС Astra Linux Special Edition

    Всем привет! Меня зовут Михаил, я разработчик в команде, которая создает ОС Astra Linux. Тема логирования в дистрибутивах Linux всегда живо обсуждается как среди наших клиентов и партнёров, так и внутри компании. Практика показывает, что начинающие разработчики и инженеры часто не видят цельную картину, по которым в нашей ОС проходят логи. Не всегда есть понимание, какой именно компонент формирует тот или иной лог, какие именно настройки относятся к тому или иному компоненту. Например, под термином «аудит» может пониматься как подсистема аудита Linux, так и другие компоненты ОС, участвующие в формировании и обработке логов. Описанные выше пробелы в знаниях сообщества побудили меня подумать над тем, как помочь коллегам сориентироваться в непростом хитросплетении путей, по которым запись лога проходит от исходной программы до конечного файла. Так мне пришла идея написать цикл статей, посвященный логированию в операционной системе Astra Linux Special Edition.

    habr.com/ru/companies/astralin

    #логирование #syslogng #служба_логирования #auditd #сокеты #утилиты #безопасность_системы #системный_вызов

  23. Version 0.6.2 of Laurel, the #Linux #auditd post-processing plugin is out. Enjoy useful, enriched, JSON-formatted audit logs suitable for modern #SIEM setups.

    This is a maintenance release:
    - Change in filtering behavior: Keep first event for new processes (configurable)
    - Small bug fixes
    - SELinux policy fixes
    - Bump MSRV to 1.70
    - Update dependency versions

    github.com/threathunters-io/la