J'essaye de configurer un CentOS 7 fonctionnant dans VirtualBox pour envoyer ses journaux d'audit à l'hôte qui est FreeBSD 10.3. Idéalement, j'aimerais recevoir les logs avec auditdistd (8) de FreeBSD, mais pour l'instant je voudrais juste pouvoir utiliser netcat pour ça.

Mon problème est que netcat n'obtient aucune donnée.

Détails

1. Lorsque service auditd status les résultats suivants:

    Redirecting to /bin/systemctl status auditd.service auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled) Active: active (running) since Fri 2016-08-19 11:35:42 CEST; 3s ago Process: 2216 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE) Main PID: 2215 (auditd) CGroup: /system.slice/auditd.service ├─2215 /sbin/auditd -n └─2218 /sbin/audispd Aug 19 11:35:42 hephaistos audispd[2218]: plugin /sbin/audisp-remote was restarted Aug 19 11:35:42 hephaistos audispd[2218]: plugin /sbin/audisp-remote terminated unexpectedly Aug 19 11:35:42 hephaistos audispd[2218]: plugin /sbin/audisp-remote was restarted Aug 19 11:35:42 hephaistos audispd[2218]: plugin /sbin/audisp-remote terminated unexpectedly Aug 19 11:35:42 hephaistos audispd[2218]: plugin /sbin/audisp-remote was restarted Aug 19 11:35:42 hephaistos audispd[2218]: plugin /sbin/audisp-remote terminated unexpectedly Aug 19 11:35:42 hephaistos audispd[2218]: plugin /sbin/audisp-remote was restarted Aug 19 11:35:42 hephaistos audispd[2218]: plugin /sbin/audisp-remote terminated unexpectedly Aug 19 11:35:42 hephaistos audispd[2218]: plugin /sbin/audisp-remote has exceeded max_restarts Aug 19 11:35:42 hephaistos audispd[2218]: plugin /sbin/audisp-remote was restarted 

Installer

Configuration du réseau

1. CentOS et FreeBSD sont connectés sur un réseau hôte uniquement. Je leur ai assigné les adresses IP suivantes:

   • Comment puis-je installer le dernier lecteur VLC dans CentOS 6.4?
   • Logiciel de surveillance de server Linux
   • Installation de vpnc sur CentOS
   • Est-ce que j'ai besoin de faire quelque chose avec "Delta RPMs disabled"?
   • Comment faire console pour supporter le chinois dans CentOS 7?
   • CentOS: 192.168.56.101
   • FreeBSD: 192.168.56.1

Configuration de FreeBSD

1. J'ai Netcat écoute sur le port 60:

    nc -lk 60 

   La connection fonctionne. Je peux utiliser nc 192.168.56.1 60 sur CentOS pour envoyer des données à FreeBSD.

CentOS Setup

1. La version du kernel est la suivante: 4.7.0-1.el7.elrepo.x86_64 #1 SMP Sun Jul 24 18:15:29 EDT 2016 x86_64 x86_64 x86_64 GNU/Linux .
2. La version de l'espace user Linux Audit est 2.6.6.
3. auditd est en cours d'exécution et se connecte activement à /var/log/audit.log .
4. Les règles d'audit de /etc/audit/rules.d/ sont bien configurées.

5. La configuration de /etc/audisp/audisp-remote.conf ressemble à ceci:

    remote-server = 192.168.56.1 port = 60 local_port = any transport = tcp mode = immediate 

6. J'ai deux files par défaut dans /etc/audisp/plugins.d/ : syslog.conf et af_unix.conf et les deux ne sont pas actifs. J'ai ajouté af-remote.conf et il ressemble à ceci:

    # This file controls the audispd data path to the # remote event logger. This plugin will send events to # a remote machine (Central Logger). active = yes direction = out path = /sbin/audisp-remote type = always #args = format = ssortingng 

   C'est un exemple modifié du référentiel officiel (lien) .

7. Voici le contenu de /etc/audisp/audispd.conf :

    q_depth = 150 overflow_action = SYSLOG priority_boost = 4 max_restarts = 10 name_format = HOSTNAME 

^{Je serai heureux de fournir plus de détails si nécessaire.}

• Pas d'input manuelle pour l'homme
• échec du script de démarrage de chkconfig, le script s'exécute correctement
• Est-il possible d'append un élément au menu de clic droit de Nautilus?
• Existe-t-il une command tout-en-un permettant à RPM de rétrograder un package vers une version plus ancienne?
• Problèmes d'envoi / réception du server de messagerie