<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:"Calibri","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoPlainText">Hi,<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Please find my response. Sorry for the delay, I am in different Time zone.
<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Well, what do you really want to do?<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><span style="color:#00B0F0">[Tilden]  we want to  implement audit Logging in Rhel 6.5. for the following events/actions.
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="color:#00B0F0">Login, logout, switch user (su):
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="color:#00B0F0">Rebooting the system, adding and deleting users, changing auditing and logging parameters, changing system clock:(all administrative actions),  <o:p></o:p></span></p>
<p class="MsoPlainText"><span style="color:#00B0F0">Process start and stop<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="color:#00B0F0">User executes a command<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="color:red"><o:p> </o:p></span></p>
<p class="MsoPlainText"><span style="color:red"><o:p> </o:p></span></p>
<p class="MsoPlainText"> In general, I'd look at the original auditing rule to see if its scope can be narrowed. In this case, it appears that you are wanting all calls to chmod. Why?<o:p></o:p></p>
<p class="MsoPlainText"><span style="color:#00B0F0">[Tilden]   My Audit.rules file for your reference. If possible please suggest me to narrowed down the audit rules for my requirement.
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="color:red"><o:p> </o:p></span></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">## First rule - delete all<o:p></o:p></p>
<p class="MsoPlainText">-D<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">## Increase the buffers to survive stress events.<o:p></o:p></p>
<p class="MsoPlainText">## Make this bigger for busy systems<o:p></o:p></p>
<p class="MsoPlainText">-b 8192<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">## Set failure mode to panic<o:p></o:p></p>
<p class="MsoPlainText">-f 2<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">## Things that could affect time<o:p></o:p></p>
<p class="MsoPlainText">-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time-change<o:p></o:p></p>
<p class="MsoPlainText">-a always,exit -F arch=b64 -S clock_settime -F a0=0 -k time-change<o:p></o:p></p>
<p class="MsoPlainText">-w /etc/localtime -p wa -k time-change<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">## Things that affect identity<o:p></o:p></p>
<p class="MsoPlainText">-w /etc/group -p wa -k identity<o:p></o:p></p>
<p class="MsoPlainText">-w /etc/passwd -p wa -k identity<o:p></o:p></p>
<p class="MsoPlainText">-w /etc/gshadow -p wa -k identity<o:p></o:p></p>
<p class="MsoPlainText">-w /etc/shadow -p wa -k identity<o:p></o:p></p>
<p class="MsoPlainText">-w /etc/security/opasswd -p wa -k identity<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">## Things that could affect system locale<o:p></o:p></p>
<p class="MsoPlainText">-a always,exit -F arch=b64 -S sethostname -S setdomainname -k system-locale<o:p></o:p></p>
<p class="MsoPlainText">-w /etc/issue -p wa -k system-locale<o:p></o:p></p>
<p class="MsoPlainText">-w /etc/issue.net -p wa -k system-locale<o:p></o:p></p>
<p class="MsoPlainText">-w /etc/hosts -p wa -k system-locale<o:p></o:p></p>
<p class="MsoPlainText">-w /etc/sysconfig/network -p wa -k system-locale<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">## Things that could affect MAC policy<o:p></o:p></p>
<p class="MsoPlainText">-w /etc/selinux/ -p wa -k MAC-policy<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">## - Logon (unsuccessful and successful) and logout (successful)<o:p></o:p></p>
<p class="MsoPlainText">-w /var/log/tallylog -p wa -k logins<o:p></o:p></p>
<p class="MsoPlainText">-w /var/run/faillock/ -p wa -k logins<o:p></o:p></p>
<p class="MsoPlainText">-w /var/log/lastlog -p wa -k logins<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">##- Discretionary access control permission modification (unsuccessful<o:p></o:p></p>
<p class="MsoPlainText">## and successful use of chown/chmod)<o:p></o:p></p>
<p class="MsoPlainText">-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod<o:p></o:p></p>
<p class="MsoPlainText">-a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -F auid>=500 -F auid!=4294967295 -k perm_mod<o:p></o:p></p>
<p class="MsoPlainText">-a always,exit -F arch=b64 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=500 -F auid!=4294967295 -k perm_mod<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">##- Unauthorized access attempts to files (unsuccessful) <o:p>
</o:p></p>
<p class="MsoPlainText">-a always,exit -F arch=b64 -S creat -S open -S openat -S open_by_handle_at -S truncate -F exit=-EACCES -F auid>=500 -F auid!=4294967295 -k access<o:p></o:p></p>
<p class="MsoPlainText">-a always,exit -F arch=b64 -S creat -S open -S openat -S open_by_handle_at -S truncate -F exit=-EPERM -F auid>=500 -F auid!=4294967295 -k access<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">##- Use of privileged commands (unsuccessful and successful)<o:p></o:p></p>
<p class="MsoPlainText">## use find /bin -type f -perm -04000 2>/dev/null and put all those files in a rule like this<o:p></o:p></p>
<p class="MsoPlainText">-a always,exit -F path=/bin/ping -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">##- Export to media (successful)<o:p></o:p></p>
<p class="MsoPlainText">-a always,exit -F arch=b64 -S mount -F auid>=500 -F auid!=4294967295 -k export<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">## sudo cannot record the action.<o:p></o:p></p>
<p class="MsoPlainText">-w /etc/sudoers -p wa -k actions<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">## Optional - could be an attempt to bypass audit or simply legacy program<o:p></o:p></p>
<p class="MsoPlainText">-a always,exit -F arch=b64 -S personality -F a0!=4294967295 -k bypass<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Are you more concerned with failed calls to chmod, meaning a user is trying to change system files?<o:p></o:p></p>
<p class="MsoPlainText"><span style="color:#00B0F0">[Tilden]    Yes, I am more concern with User level auditing. i.e. what and all actions performed by the user should be logged. we don’t want the System process or any executable to generate logs.
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="color:red"><o:p> </o:p></span></p>
<p class="MsoPlainText"><span style="color:red"><o:p> </o:p></span></p>
<p class="MsoPlainText">Are system daemons calling chmod OK? Or do you really want everything?<o:p></o:p></p>
<p class="MsoPlainText"><span style="color:#00B0F0">[Tilden]    We don’t want the System process / daemons logs
<o:p></o:p></span></p>
<p class="MsoPlainText"> <o:p></o:p></p>
<p class="MsoPlainText"> Or do you want no events at all for that daemon no matter what the syscall?<o:p></o:p></p>
<p class="MsoPlainText"><span style="color:#00B0F0">[Tilden]     Yes, we found 3 daemons which is causing the issue of generating lot of logs message, so we want to restrict those daemons from generating log messages, as we want only User level audit logs</span>.
<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Thanks<o:p></o:p></p>
<p class="MsoPlainText">Tilden<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">-----Original Message-----<br>
From: Steve Grubb [mailto:sgrubb@redhat.com] <br>
Sent: Monday, November 17, 2014 9:01 PM<br>
To: linux-audit@redhat.com<br>
Cc: Tilden Doran D<br>
Subject: Re: Excluding few executable from audit.rules in redhat6.5</p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">On Monday, November 17, 2014 03:02:12 PM Tilden Doran D wrote:<o:p></o:p></p>
<p class="MsoPlainText">> I am new to Redhat Audit logging.<o:p></o:p></p>
<p class="MsoPlainText">> Our Server Configurations:  Redhat 6.5 OS and Oracle 11g ,  and
<o:p></o:p></p>
<p class="MsoPlainText">> SELinux is enabled.<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> We are getting lots of logs messages  in /var/log/messages.<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> type=SYSCALL msg=audit(1416235337.083:2109222): arch=c000003e
<o:p></o:p></p>
<p class="MsoPlainText">> syscall=90 success=yes exit=0 a0=7f52ae9f1a20 a1=3ff <o:p>
</o:p></p>
<p class="MsoPlainText">> a2=ffffffffffffff88<o:p></o:p></p>
<p class="MsoPlainText">> a3=fffffffffffffff0 items=1 ppid=1 pid=46859 auid=500 uid=345 gid=345<o:p></o:p></p>
<p class="MsoPlainText">> euid=345 suid=345 fsuid=345 egid=345 sgid=345 fsgid=345 tty=(none)
<o:p></o:p></p>
<p class="MsoPlainText">> ses=28 comm="ohasd.bin" exe="/opt/oracle_homes/oracle/grid/11.2.0/bin/ohasd.bin"<o:p></o:p></p>
<p class="MsoPlainText">> subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="perm_mod"<o:p></o:p></p>
<p class="MsoPlainText">> type=PATH msg=audit(1416235337.083:2109222): item=0 <o:p>
</o:p></p>
<p class="MsoPlainText">> name="/opt/oracle_homes/oracle/grid/11.2.0/auth/ohasd/dl360x3364/A7679703"<o:p></o:p></p>
<p class="MsoPlainText">> inode=4718596 dev=fd:00 mode=041755 ouid=345 ogid=345 rdev=00:00<o:p></o:p></p>
<p class="MsoPlainText">> obj=unconfined_u:object_r:usr_t:s0 nametype=NORMAL<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> Later we found and removed message type "CWD", but still we are 
<o:p></o:p></p>
<p class="MsoPlainText">> getting lot of logs.<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> And also found that the below mentioned executable are creating the problem.<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> 13351. 11/16/2014 18:11:34<o:p></o:p></p>
<p class="MsoPlainText">> /opt/oracle_homes/oracle/grid/11.2.0/bin/ohasd.bin (none) ? 500
<o:p></o:p></p>
<p class="MsoPlainText">> 1599360 13352. 11/16/2014 18:11:34 <o:p></o:p></p>
<p class="MsoPlainText">> /opt/oracle_homes/oracle/rdbms/11.2.0/bin/oracle<o:p></o:p></p>
<p class="MsoPlainText">> (none) ? 500 1599354 13353. 11/16/2014 18:11:34 <o:p></o:p></p>
<p class="MsoPlainText">> /opt/oracle_homes/oracle/grid/11.2.0/bin/oraagent.bin (none) ? 500
<o:p></o:p></p>
<p class="MsoPlainText">> 1599361<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> Can you  please help me in excluding the above mentioned Executable `s
<o:p></o:p></p>
<p class="MsoPlainText">> in the audit. rules files .<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Well, what do you really want to do? In general, I'd look at the original auditing rule to see if its scope can be narrowed. In this case, it appears that you are wanting all calls to chmod. Why? Are you more concerned with failed calls
 to chmod, meaning a user is trying to change system files? Are system daemons calling chmod OK? Or do you really want everything? Or do you want no events at all for that daemon no matter what the syscall?<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">The event you are showing is that app successfully making a directory world writable/readable. Its setting the sticky bit, so its "safe."<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">-Steve<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</div>
</body>
</html>