Linux auditd Ansibleロール

Linux auditdを設定し、構成するためのAnsibleロールです。

視覚化の例（R使用）もあります。

要件と依存関係

Ansible

以下のバージョンでテストされました：

• 2.2
• 2.5
• 2.10

対応オペレーティングシステム

• Ubuntu 16.04, 18.04, 20.04
• CentOS 7, 8
• Suse 12.x, 15.x

例：プレイブック

このロールをリストに含めるだけです。 例えば：

- hosts: all
  roles:
    - juju4.auditd

変数

現在のところ特にありません。

継続的インテグレーション

このロールにはtravisによる基本的なテストがあり、kitchenやVagrantfile（test/vagrant）を使ったより高度なテストもあります。 デフォルトのkitchen設定（.kitchen.yml）はlxdベースですが、(.kitchen.vagrant.yml)はvagrant/virtualboxベースです。

必要なロールがすべて揃っていることを確認したら、以下のコマンドでテストできます：

$ gem install kitchen-ansible kitchen-lxd_cli kitchen-sync kitchen-vagrant
$ cd /path/to/roles/juju4.auditd
$ kitchen verify
$ kitchen login
$ KITCHEN_YAML=".kitchen.vagrant.yml" kitchen verify

または

$ cd /path/to/roles/juju4.auditd/test/vagrant
$ vagrant up
$ vagrant ssh

トラブルシューティングと既知の問題

• auditdはカーネルにリンクされているため、コンテナ内で実行されるとロールは変更を行いません。

• watchdog: BUG: soft lockup - CPU#0 stuck for Xs! [kauditd:22]、 audit: backlog limit exceeded、 audit: kauditd hold queue overflowは、grubのaudit_backlog_limit=8192であっても観察されます。 変数auditd_grub_enableはデフォルトでfalseに設定されています。注意して使用してください。 4.11におけるkauditdの保持キューのオーバーフロー、2017年9月 起動中のイベントオーバーフロー、2017年5月

参考文献

• https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/chap-system_auditing.html
• https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-starting_the_audit_service.html
• https://github.com/bfuzzy/auditd-attack
• https://github.com/Neo23x0/auditd/

ライセンス

BSD 2条項