Linux Log Analizi — Auditd ile Yazılabilecek Diğer Kurallar

Bu yazımızda /etc/audit/rules.d/audit.rules dosyasına yazabileceğimiz bazı kuralları ele alacağız.

Bilgi toplama tespiti için aşağıdaki kurallar kullanılabilir:

-w /usr/bin/id -p x -k id_komutu_kullanildi

-w /usr/bin/whoami -p x -k whoami_komutu_kullanildi

-w /etc/passwd -p r -k kullanicilar_listelendi

-w /etc/group -p r -k gruplar_listelendi

-w /var/spool/mail/root -p r -k maillerde_okuma_islemi

-w /etc/ssh/ssh_config -p r -k ssh_konfigurasyonu_okundu

Tünelleme işlemi ve proxy kullanımı tespiti için:

-w /usr/bin/proxychains -p x -k proxychains_kullanimi

Yetki Yükseltme tespiti için kullanılabilecek kurallar :

-w /usr/bin/gcc -p x -k gcc_kullanimi(sudo Environment Variables veya sistem bazlı yetki yükseltme)

-w /etc/crontab -p r -k crontab_okundu(cronjobs yanlış yetkilendirme)

-w /usr/bin/chmod -p x -k yetki_degistirme(çalıştırılabilir dosyaya çalıştırma yetkisi verilmesi)

-w /usr/bin/touch -p x -k wildcard_cronjobs_olabilir(cronjobs ile wildcard kullanımı ile yetki yükseltme)

-w /usr/bin/strace -p x -k shared_object_injection(shared object injection ile yetki yüksetlme)

-w /usr/bin/env -p x -k env_kullanimi (PS4 ortam değişkeni ile yetki yükseltme)

-w /etc/openvpn/auth.txt -p r -k openvpn_auth_dosyasi_okundu (Elde edilen kullanıcı adı ve parola ile yetki yükseltme)

Diğer kurallar için github hesabımızdaki https://github.com/kaleakademi/auditd-kurallar reposunu inceleyebilirsiniz.