<div dir="ltr"><div><div>Steve, would you mind giving me a little more guidance on this?<br><br></div>Is there anything more specific you can suggest?  <br><br></div>I don't want to provide a false sense of security to my IA people.<br clear="all"><div><div><div><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">--------------------------<br><font color="#000099" size="4">Warron French<br><font size="4"><font size="4"><font size="4"><br></font></font></font></font></div></div></div>
<br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">warron.french</b> <span dir="ltr"><<a href="mailto:warron.french@gmail.com">warron.french@gmail.com</a>></span><br>Date: Tue, Oct 11, 2016 at 2:58 PM<br>Subject: Syscalls to use<br>To: <a href="mailto:linux-audit@redhat.com">linux-audit@redhat.com</a><br><br><br><div dir="ltr"><div><div><div><div><div>I apologize, but I am not sure how to go about determining the appropriate syscalls to use for various audit goals.<br><br></div>I know that recently I learned to use the ausyscall --dump command to list the ausyscalls; but apparently I mis-understood/interpreted the purpose of 1 or 2 of the syscalls and had to be corrected (thanks Steve).<br><br></div>Anyway, my organization has a goal to audit several things; of which I know how to manage most, for examples:<br><br><ol><li>File & Object</li></ol><ul><li>Creation (Success/Failure)             <wbr>                      |  w<br></li><li>Access (Success/Failure)             <wbr>                       |  r<br></li><li><span class="m_3592792348086022154m_-102827351259328000gmail-">Deletion</span> (Success/Failure)             <wbr>                      |  w<br></li><li><span class="m_3592792348086022154m_-102827351259328000gmail-">Content Modification</span> (Success/Failure)             <wbr>    |  a<br></li><li><span class="m_3592792348086022154m_-102827351259328000gmail-">Permission Modification </span>(Success/Failure)            |  a<br></li><li>Ownership Modification (Success/Failure)             |  a<br></li></ul></div>For these I would have used a watch (<i><b>-w</b></i>) rule and set the -p flags to <b>r, w</b> or <b>a</b> as shown above.  From what I understand though, correct me if I am wrong Steve, we should be getting away from the watch rules and move towards Syscalls and using <b>-F path=/path/to/file</b>, or<br><b>-F path=/path/to/several_files/</b>   -- is this correct, both for RHEL6 and RHEL7?<br><br></div>Also, I need to audit  (Success/Failure) for the following sort of things:<br></div><div><b><font color="#ff0000">Authentications<br></font></b></div><div><span style="color:rgb(0,0,255)">Logons<br></span></div><div><font color="#ff0000"><span style="color:rgb(0,0,255)">Logoffs</span><br><br></font></div><div><font color="#ff0000"><b>Writes/downloads to external devices/media<br></b></font></div><div><font color="#ff0000"><b>Uploads from external devices/media </b>(<i>such as DvD, thumbdrive, etc)<br></i></font></div><div><font color="#ff0000"><b><br>User & Group</b> <b>events</b><br></font></div><div><div><div><div><div><div><div><span style="color:rgb(0,0,255)">User:  Creation, deletion, Modification, suspending/locking<br></span></div><div><span style="color:rgb(0,0,255)">Group/Role:  Creation, deletion, modification<br><br></span></div><div><span style="color:rgb(0,0,255)"><b><font color="#ff0000">Use of Privileged/Special Rights events</font></b><font color="#ff0000"> (<i>such as sudo, su, etc..)<br></i></font></span></div><div><span style="color:rgb(0,0,255)"><font color="#ff0000"><b>Printing to a print-device<br></b></font></span></div><div><span style="color:rgb(0,0,255)"><font color="#ff0000"><b>Printing to a file<br><br></b></font></span></div><div><span style="color:rgb(0,0,255)"><font color="#ff0000"><span style="color:rgb(0,0,0)">Thanks in advance for any steering someone could provide to get me moving in the correct direction.</span><b><br></b></font></span></div><div><br clear="all"><div><div class="m_3592792348086022154m_-102827351259328000gmail_signature"><div dir="ltr">--------------------------<br><font color="#000099" size="4">Warron French<br><font size="4"><font size="4"><font size="4"><br></font></font></font></font></div></div></div>
</div></div></div></div></div></div></div></div>
</div><br></div></div></div></div>