auditd

最新推荐文章于 2024-01-08 00:11:45 发布
最新推荐文章于 2024-01-08 00:11:45 发布
阅读量4.2k 收藏 2
点赞数
分类专栏: tools

linux服务——auditd

2012-03-24 12:09 2577人阅读 评论(1) 收藏 举报
linux user centos 编程 login 脚本

审计(audit)是linux安全体系的重要组成部分,他是一种“被动”的防御体系。

在内核里有内核审计模块,核外有核外的审计后台进程auditd。
应用程序给内核发送审计消息,内核的审计模块再把消息转发给用户空间的后台进程auditd处理。

大概就是这么回事,我不是太深入,如果需要更多的内容,自己去查阅相关资料。如果没有好的资料,我推荐一本,《linux安全体系分析与编程》作者倪继利 。

审计说穿了就是把和系统安全有关的事件记录下来:谁谁谁在什么时候做了什么事,结果是啥。

审计的消息来源主要有两方面:

1.内核(我不太确定)、应用程序(audit-libs-devel包里面有编程接口)产生的。

2.系统管理员添加的审计规则,匹配规则的事件都将被记录下来。

规则添加:

1 添加文件监视:
该规则能监视文件被读、写、执行、修改文件属性的操作,并记录
auditctl -w /etc/passwd -p rwax
上述命令记录/etc/passwd 被读、写、执行修改属性的操作

2 系统调用入口监视(entry链表)
该规则在进入系统调用的时候触发,记录此时的执行上下文
auditctl -a entry,always -F UID=root -S mkdir
上述命令记录uid为root的用户调用mkdir系统调用的情况

3 系统调用出口(exit链表)
同系统调用入口规则,不同的是在退出系统调用的时候被触发

4 任务规则(task表)
该规则在调用fork() 或者clone()产生新进程的时候触发,因此,该规则适用的“域”仅仅是此时可见的,例如uid gid pid 等等。(参见man auditctl和这里
auditctl -a task,always -F uid=root

5 可信应用程序规则(user表)
按照各种资料上的说法,这里的user表是用来过滤消息的,内核传递给审计后台进程之前先查询这个表。
但是,不管怎么设置规则都达不到这个效果。如下:
auditctl -a user,always -F uid=root
添加上述规则,发现root的行为被记录。这样添加规则还是被记录:
auditctl -a user,never -F uid=root
后来发现我的CentOS里面system-config-audit上面,该链表被命名为“可信应用程序”。受此启发写了个小程序,向审计内核里写消息,发现这样的消息被过滤了。
这点需要进一步验证。

6 过滤规则(exclude表)
这个表是用来过滤消息的,也就是不想看到的消息可以在这里写规则进行过滤。
例如:不想看到用户登陆类型的消息,可以如下添加规则:
auditctl -a exclude,always -F msgtype=USER_LOGIN
这里过滤是以“消息类型”为对象的。

 --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

下面的图片说明了Linux Audit的各个组成之间是如何

相互作用的:

linux的审计功能(audit)(转) - llei - llei的学习笔记linux的审计功能(audit)(转) - llei - llei的学习笔记

图片上实线代表数据流,虚线代表组件关之间的控制系

auditd

Audit 守护进程负负责把内核产生的信息写入到硬盘上,这些信息是由应用程序和系统活动所触发产生的。Audit守护进程如何启动取决于它的配置文件,/etc /sysconfig/auditd。Audit系统函数的启动受文件/etc/audit/auditd.conf的控制。有关auditd更多的信息参照第三节:配置Audit守护进程。

auditctl

auditctl功能用来控制Audit系统,它控制着生成日志的各种变量,以及内核审计的各种接口,还有决定跟踪哪些事件的规则。关于auditctl的更多信息参照第四节:用auditctl控制Audit系统。

audit rules

在/etc/audit/audit.rules中包含了一连串auditctl命令,这些命令在audit系统被启用的时候被立即加载。更所关于审计规则的信息请参看第五节:给audit系统传递变量

aureport

aureport的功能是能够从审计日志里面提取并产生一个个性化的报告,这些日志报告很容易被脚本化,并能应用于各种应用程序之中,如去描述结果,更多信息参看第六节:理解审计日志和生成审计报告

ausearch

这个功能能让我们从审计日志之中通过关键词或者是格式化录入日志中的其它特征变量查询我们想要看到的信息。详细信息请参看第七节:用ausearch查询audit守护进程的的日志。

audispd

这是一个审计调度进程,它可以为将审计的信息转发给其它应用程序,而不是只能将审计日志写入硬盘上的审计日志文件之中。

autrace

这个功能更总类似于strace,跟踪某一个进程,并将跟踪的结果写入日志文件之中。更多详细信息请参看第八节:用autrace分析进程


killmice
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ansible-auditd:设置和配置linux auditd
05-04
Ansible角色,用于设置和配置linux auditd。 可能的。 要求和依存关系 Ansible 已在以下版本上进行了测试: 2.2 2.5 2.10 操作系统 Ubuntu 16.04、18.04、20.04 Centos 7、8 Suse 12.x,15.x 剧本范例 只需将...
Linux安全之auditd审计工具使用说明
月生的静心苑
11-28 3820
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
银河麒麟V10 SP1 审计工具 auditd 引发的内存占用过高
敬天爱人小白
03-27 1万+
银河麒麟V10 SP1 审计工具 auditd 引发的内存占用过高
auditd审计程序使用详解
daibaohui的博客
08-29 952
auditd(Linux审核守护程序)简介 auditd是Linux审计系统的用户空间组件。它负责把审计记录写到磁盘上。查看日志是通过ausearch或aureport工具完成的。配置审计系统或加载规则是通过auditctl工具完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核。另外,还有一个augenrules程序,它读取位于/etc/audit/rules.d/中的规则,并将其编译成audit.rules文件。审计守护程序本身有一些配置选项,管
Auditd入门
weixin_42277902的博客
07-03 2765
Audit的使用技巧总结
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4382
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
auditd-attack:映射到MITRE的Attack FrameworkLinux Auditd规则集
02-04
auditd-attack:映射到MITRE的Attack FrameworkLinux Auditd规则集
auditd:最佳实践审核配置
05-08
___ ___ __ __ / | __ ______/ (_) /_____/ / / /| |/ / / / __ / / __/ __ / / ___ / /_/ / /_/ / / /_/ /_/ / /_/ |_\__,_/\__,_/_/\__/\__,_/ 最佳实践审核配置主意此审核配置的想法是提供一个基本配置,该配置...
puppet-auditd-2.2.0-3.189b22bgit.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
puppet-auditd-2.2.0-3.189b22bgit.el8.noarch.rpm
12-05
离线安装包,亲测可用
linux 审计(auditd)原理分析
guoguangwu的专栏
08-18 6345
前面几篇博客说过可以使用auditctl 添加和删除规则等。 现在谈谈auditd的相关实现。基于 Linux2.6.11.12 这些代码主要在下面的文件中 kernel/audit.c 提供了核心的审计机制。 kernel/auditsc.c 实现了系统调用审计、过滤审计事件的机制。 用户可以使用应用程序auditctl向内核添加规则,内核检测到这些变动之后,会在进程创...
auditd 用户审计详解
最新发布
悦分享
01-08 926
syslog会记录系统状态(硬件警告、软件的log), 但syslog属于应用层, log归咎于软件, 所以并不会记录所有动作,于是才有了auditauditd工具可以记录文件变化、记录用户对文件的读写访问,甚至记录系统调用,文件变化通知等。同时auditd工具可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。但是auditd本身不提供额外的安全性保障,它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。
auditd日志分析方法
weixin_38637595的博客
05-22 2756
auditd是监听目录下的文件操作 你可以通过auditd配置你要监听的目录,之后对这个目录下的操作会记录到autitd的日志中 这里先不讲如何去配置auditd,这里讲如何去分析auditd日志 auditd原理简介 首先我们创建文件也好,删除文件也好,都是由进程帮我们去执行的 linux内核提供接口,可以查询进程对文件的操作 autitd记录的就是文件操作时涉及到的数据记录下来 所以只要分析日志就可以判断出是谁对哪个文件进行了什么操作 本文只分享分析方法,这里就讲得粗糙些 怎么去分析 这
【麒麟V10 mate-indicators、 auditd进程占用内存过高问题】——(查看麒麟版本V10版本、开源补丁包链接、内存泄漏临时处理和永久处理方法)
weixin_51910506的博客
08-28 4133
查看麒麟版本V10版本; 开源补丁包下载链接、安装; 内存泄漏临时处理和永久处理方法;
linux服务——auditd
热门推荐
updba的专栏
03-24 1万+
审计(audit)是linux安全体系的重要组成部分,他是一种“被动”的防御体系。 在内核里有内核审计模块,核外有核外的审计后台进程auditd。 应用程序给内核发送审计消息,内核的审计模块再把消息转发给用户空间的后台进程auditd处理。 大概就是这么回事,我不是太深入,如果需要更多的内容,自己去查阅相关资料。如果没有好的资料,我推荐一本,《linux安全体系分析与编程》作者倪继利 。
记一次程序内存占用高问题排查
keyboard专栏
06-08 2579
文件竟然6.2G分析结论:内存中存储的数据过大,需要清理 查看本进程被分配的内存 内存中存在大数据对象放在hashMap中,并没有即时回收,造成内存占用越来越大。cacheObject.java ConcurrentMapCache.java 测试类 辅助: 1、将项目中不必要的加载内存的地方去掉,减少内存占用...
银河麒麟v10系统维护记录
大数据学习笔记
02-10 2256
占用较大,先停用 systemctl stop audit。1.aduit进程内存占用高问题。
麒麟操作系统内存泄漏导致Gaussdb(DWS)数仓DN故障
dba笔记
05-08 5006
麒麟操作系统auditd服务组件和mate-indicators 组件导致内存泄漏,导致Gaussdb(DWS)数仓DN故障
auditd 安全事件
07-27
auditd 是一个用于记录和监控 Linux 系统上的安全事件的工具。它是由 Linux 审计框架提供支持的用户空间工具之一。通过 auditd,系统管理员可以配置规则来监视并记录系统上发生的各种事件,如文件和目录的访问、进程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值