說明

我們想要看到更多監控稽核日誌，來幫我們找到異常問題

作法

使用auditctl，查看一下上一章Pkexec提權的日誌

增加規則，設定檔路徑/etc/audit/rules.d/audit.rules

-w /usr/bin/pkexec -p x -k pkexec_monitor

pkexec的audit.log

本機主機日誌 /var/log/audit/audit.log

• type=SYSCALL：這是系統調用的日誌
• audit(1728481695.022:165) 使用UNIX Ttime呈現，轉換是Wed Oct 09 2024 21:48:15 GMT+0800
  auid 登入使用者的ID (一般使用者)
• auid=1000、uid=1000 和 gid=1000 一開始是一般使用者，euid=0、suid=0 和 fsuid=0 變成root帳號，表示有提權的行為

type=SYSCALL msg=audit(1728481695.022:165): arch=c000003e syscall=59 success=yes exit=0 a0=561ca89f9162 a1=7ffe04ef4e48 a2=7ffe04ef4e58 a3=3 items=2 ppid=3438 pid=5033 auid=1000 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4 comm="pkexec" exe="/usr/bin/pkexec" key="pkexec_monitor"

type=EXECVE msg=audit(1728481695.022:165): argc=0 a0=".pkexec"

type=CWD msg=audit(1728481695.022:165): cwd="/home/training/Desktop"

type=PATH msg=audit(1728481695.022:165): item=0 name="/usr/bin/pkexec" inode=4195233 dev=08:01 mode=0104755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0

type=PATH msg=audit(1728481695.022:165): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=4980742 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0

type=PROCTITLE msg=audit(1728481695.022:165): proctitle="(null)"

正常使用 pkexec的audit.log

pkexec --user root su
本機主機日誌 /var/log/audit/audit.log

type=SYSCALL msg=audit(1728486350.356:298): arch=c000003e syscall=59 success=yes exit=0 a0=5650eaa960f0 a1=5650ea967260 a2=5650eaa79c40 a3=8 items=2 ppid=3438 pid=5781 auid=1000 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4 comm="pkexec" exe="/usr/bin/pkexec" key="pkexec_monitor"
type=EXECVE msg=audit(1728486350.356:298): argc=4 a0="pkexec" a1="--user" a2="root" a3="su"
type=CWD msg=audit(1728486350.356:298): cwd="/home/training/Desktop"
type=PATH msg=audit(1728486350.356:298): item=0 name="/usr/bin/pkexec" inode=4195233 dev=08:01 mode=0104755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1728486350.356:298): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=4980742 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PROCTITLE msg=audit(1728486350.356:298): proctitle=706B65786563002D2D7573657200726F6F74007375
type=USER_AUTH msg=audit(1728486355.528:299): pid=5784 uid=1000 auid=1000 ses=3 msg='op=PAM:authentication acct="training" exe="/usr/lib/policykit-1/polkit-agent-helper-1" hostname=? addr=? terminal=? res=success'
type=USER_ACCT msg=audit(1728486355.528:300): pid=5784 uid=1000 auid=1000 ses=3 msg='op=PAM:accounting acct="training" exe="/usr/lib/policykit-1/polkit-agent-helper-1" hostname=? addr=? terminal=? res=success'
type=USER_START msg=audit(1728486355.552:301): pid=5781 uid=1000 auid=1000 ses=4 msg='op=PAM:session_open acct="root" exe="/usr/bin/pkexec" hostname=training-virtual-machine addr=? terminal=pts/0 res=success'
type=USER_AUTH msg=audit(1728486355.556:302): pid=5781 uid=0 auid=1000 ses=4 msg='op=PAM:authentication acct="root" exe="/bin/su" hostname=? addr=? terminal=/dev/pts/0 res=success'
type=USER_ACCT msg=audit(1728486355.556:303): pid=5781 uid=0 auid=1000 ses=4 msg='op=PAM:accounting acct="root" exe="/bin/su" hostname=? addr=? terminal=/dev/pts/0 res=success'
type=CRED_ACQ msg=audit(1728486355.556:304): pid=5781 uid=0 auid=1000 ses=4 msg='op=PAM:setcred acct="root" exe="/bin/su" hostname=? addr=? terminal=/dev/pts/0 res=success'
type=USER_START msg=audit(1728486355.568:305): pid=5781 uid=0 auid=1000 ses=4 msg='op=PAM:session_open acct="root" exe="/bin/su" hostname=? addr=? terminal=/dev/pts/0 res=success'
type=USER_ROLE_CHANGE msg=audit(1728486355.568:306): pid=5787 uid=0 auid=1000 ses=4 msg='op=su acct="root" exe="/bin/su" hostname=localhost addr=127.0.0.1 terminal=/dev/pts/0 res=success'

REF

實作配置audit記錄機制　Linux核心監控不漏勾
https://www.netadmin.com.tw/netadmin/zh-tw/technology/87B0B07EEFE849A1A898E6A288C73E9A

IR - SOC162-112 - Pwnkit (CVE-2021-4034) Detected - Auditd (pkexec)
https://www.youtube.com/watch?v=6AAZM1mZgyM

Hunting for Persistence in Linux (Part 1): Auditd, Sysmon, Osquery (and Webshells)
https://pberba.github.io/security/2021/11/22/linux-threat-hunting-for-persistence-sysmon-auditd-webshell/

使用稽核稽核稽核稽核稽核 Oracle Linux
https://docs.oracle.com/zh-tw/learn/ol-auditd/#temporarily-enable-and-disable-auditing

Linux auditd主机系统安全审计服务配置技术方案
https://blog.csdn.net/watermelonbig/article/details/124154640

linux audit审计（7-1）--读懂audit日志
https://www.cnblogs.com/xingmuxin/p/8807774.html

Linux auditd for Threat Detection [Part 1]
https://izyknows.medium.com/linux-auditd-for-threat-detection-d06c8b941505

補充 (ChatGPT)

1. ppid (Parent Process ID)
   描述：父進程的 ID。這是啟動當前進程的進程的識別號。
   用途：用來跟踪進程之間的關係，特別是在檢查進程樹時。
2. pid (Process ID)
   描述：當前進程的 ID。
   用途：唯一標識正在執行的進程。
3. auid (Audit User ID)
   描述：審計用戶的 ID。這是登錄用戶的識別號，通常用於審計和跟踪用戶活動。
   用途：用於記錄用戶的行為，即使在進程以其他用戶身份執行時，這個 ID 仍然保持不變。
4. uid (User ID)
   描述：當前進程的擁有者的 ID。
   用途：標識進程的擁有者，用於權限檢查和資源訪問控制。
5. gid (Group ID)
   描述：當前進程的擁有者所屬的主組的 ID。
   用途：標識進程擁有者的主要組，影響進程訪問共享資源的權限。
6. euid (Effective User ID)
   描述：有效用戶的 ID。這個 ID 用於權限檢查。
   用途：在使用 setuid 或 sudo 等命令時，這個 ID 可以與 uid 不同，允許進程以不同的用戶身份執行。
7. suid (Set User ID)
   描述：設置用戶的 ID。表示進程的原始擁有者的 ID。
   用途：用於跟踪執行時使用的原始用戶身份，特別是在 setuid 可執行文件的情況下。
8. fsuid (File System User ID)
   描述：用於文件系統訪問的用戶 ID。
   用途：確定進程在文件系統中的權限，可能與 euid 不同，特別是在使用 chroot 或其他環境隔離技術時。
9. egid (Effective Group ID)
   描述：有效群組的 ID。這個 ID 用於群組權限檢查。
   用途：類似於 euid，但適用於群組，允許進程以不同的群組身份訪問資源。
10. sgid (Set Group ID)
    描述：設置群組的 ID。表示進程的原始擁有者所屬的主群組的 ID。
    用途：跟踪進程的原始群組身份，特別是在 setgid 可執行文件的情況下。
11. fsgid (File System Group ID)
    描述：用於文件系統訪問的群組 ID。
    用途：確定進程在文件系統中的群組權限，可能與 egid 不同。