如何审计系统时间更改?

最新推荐文章于 2023-03-28 17:28:52 发布
最新推荐文章于 2023-03-28 17:28:52 发布
阅读量444 收藏 1
点赞数
分类专栏: 杂记 文章标签: bash linux 开发语言
原文链接:https://access.redhat.com/solutions/1963
版权

环境

  • Red Hat Enterprise Linux 8
  • Red Hat Enterprise Linux 7
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 5
  • Red Hat Enterprise Linux 4

问题

  • 如何审计系统时间更改?

决议

  • 确保系统时间正确至关重要。有缺陷的程序、虚拟机监控程序时间注入或不良操作可能会导致系统时间更改。

设置审计规则

auditd服务可用于记录触发系统时间更改的所有事件。

  1. 首先检查auditd服务是否正在运行

    [root@host ~]# service auditd status

  2. 接下来,添加一个新规则来观察系统时间变化(系统调用adjtimexclock_settimesettimeofdayclock_adjtime

    [root@host ~]# auditctl -a exit,always -F arch=b64 -S clock_settime -S adjtimex -S settimeofday -S clock_adjtime -k ADJTIME
[root@host ~]# auditctl -a exit,always -F arch=b32 -S clock_settime -S adjtimex -S settimeofday -S clock_adjtime -k ADJTIME

    在此示例中,为此审计规则定义了一个名为“ADJTIME”的过滤器关键字。

  3. 要测试审计规则,请更改系统时间,然后在审计日志中搜索定义的关键字

    [root@host ~]# hwclock --hctosys
[root@host ~]# ausearch -k ADJTIME

    示例输出如下:

    time->Sat Jan 19 22:37:33 2008
type=SYSCALL msg=audit(1200753453.330:86): arch=40000003 syscall=79 success=yes exit=0 a0=bffeb53c a1=bffeb534 a2=0 a3=0 items=0 ppid=2133 pid=3177 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 comm="hwclock" exe="/ sbin/hwclock" subj=root:system_r:unconfined_t:s0-s0:c0.c1023 key="adjtime"

备选的 systemtap 脚本

或者,可以使用 systemtap 脚本,但在这里使用 systemtap 不太方便,因为它需要安装 debuginfo 包。

  1. 创建timechange.stp脚本

    #!/usr/bin/env stap
# Systemtap script to watch the system time change events by monitoring
# adjtimex, clock_settime, settimeofday, clock_adjtime systemcalls. 
#
# Run Instructions:
#   # yum install systemtap
#   # stap-prep
#   # stap -v <thiscript.stp>
#

probe syscall.{adjtimex, clock_settime, settimeofday, clock_adjtime}.return {
  ts = task_current()
  printf ("%s syscall_name:%s proc_name:%s uid:%ld pid:%d ppid:%d parent_proc:%s kernel_function:%s process_trace:%s cmd_line_args:%s\n",
          ctime(gettimeofday_s()), name, execname(), uid(), pid(), ppid(), pexecname(), ppfunc(), pstrace(ts), cmdline_str())
}

  2. 执行脚本

    # yum -y install systemtap
# stap-prep
# stap -v ./timechange.stp

    示例输出如下:

    # stap -v timechange.stp 
[...]
Thu Sep 16 05:11:55 2021 syscall_name:clock_settime proc_name:ntpdate uid:0 pid:22893 ppid:9195 parent_proc:bash kernel_function:SyS_clock_settime process_trace: ntpdate(22893) bash(9195) sshd(9184) sshd(1240) cmd_line_args:ntpdate -u 0.rhel.pool.ntp.org
Thu Sep 16 06:59:35 2021 syscall_name:adjtimex proc_name:ntpd uid:38 pid:997 ppid:1 parent_proc:systemd kernel_function:SyS_adjtimex process_trace: ntpd(997) cmd_line_args:/usr/sbin/ntpd -u ntp:ntp -x
Thu Sep 16 07:02:41 2021 syscall_name:clock_settime proc_name:date uid:0 pid:23717 ppid:9195 parent_proc:bash kernel_function:SyS_clock_settime process_trace: date(23717) bash(9195) sshd(9184) sshd(1240) cmd_line_args:date -s Thu Sep 16 10:29:16 2021
Thu Sep 16 04:59:23 2021 syscall_name:settimeofday proc_name:systemd-timedat uid:0 pid:23734 ppid:1 parent_proc:systemd kernel_function:SyS_settimeofday process_trace: systemd-timedat(23734) cmd_line_args:/usr/lib/systemd/systemd-timedated
Thu Sep 16 05:18:50 2021 syscall_name:settimeofday proc_name:hwclock uid:0 pid:24794 ppid:9195 parent_proc:bash kernel_function:SyS_settimeofday process_trace: hwclock(24794) bash(9195) sshd(9184) sshd(1240) cmd_line_args:hwclock --hctosys
HHFQ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 6转换系统审计日志文件
weeknd的博客
05-10 2413
在查看/var/log/audit.log日志文件的时候,没法识别时间,需要进行时间转换 1:原来的日志文件格式 type=LOGIN msg=audit(1493503801.016:68448): pid=20835 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=11216 type=USER_START
linux审计日志时间格式,linux 审计工具auditd日志audit.log时间戳转换查看
weixin_35977784的博客
05-06 1906
最近由于机房安全规范的要求,需要第三方软件进行系统安全审计linux操作系统默认有登陆、定时任务等审计,要查看其日志的时候发现时间格式为unix时间戳格式,阅读起来很不方便,便想将其中的时间戳转换成为普通时间进行查看网上普遍的做法为使用perl脚本在阅读时进行转换cat time.pls/(1\d{9})/localtime($1)/e然后使用管道命令进行转换less,more,tail -fl...
Linuxaudit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
linux设置日志文件保存时间方法
最新发布
Engineer_zou的博客
03-28 6117
在这个例子中,/path/to/your/log/file 是您要轮转的日志文件的路径。rotate 26 表示将保留最近 26 个日志文件,也就是半年的时间,因为一天有24小时,半年大概有180天,180天/7天 = 25周余5天,所以设置成26即可。在Linux中,通常使用日志轮转(Log rotation)来控制日志文件的保留和管理。日志轮转允许您在生成新日志文件时将旧日志文件归档或删除。这将模拟 logrotate 轮转日志文件的操作,并输出日志文件将如何被轮转的详细信息。3.保存配置文件并退出。
Linux安全审计功能的实现--audit详解
我在CSND的日子
09-29 5839
实现监管企业员工的操作行为就需要开启审计功能,也就是audit,通过日志查看用户的操作行为 1、安装和开启auditd服务: 安装:yum install audit 安装后默认启动 查看运行状态: service auditd status 2、查看auditd的服务状态的另一种方式: auditctl -s e...
更改本地系统时间.zip
09-20
Windows操作系统提供了一个名为`kernel32.dll`的动态链接库,其中包含了`SetSystemTime`函数,可以用来修改系统时间。在C#中,我们可以通过P/Invoke(平台调用)来调用这个函数。 以下是一个简单的C#代码示例,展示...
seay源代码审计系统
03-13
seay源代码审计系统是一款专为网络安全领域设计的工具,主要功能是对PHP代码进行深度审计,以确保软件的安全性。在Web开发中,尤其是使用PHP语言时,由于其灵活性和广泛性,可能导致潜在的安全漏洞。seay系统就是...
数据库审计系统需求说明.docx
03-18
附件: 数据库审计系统需求说明 序号 指标项 具体要求 1 硬件指标 标准机架式设备,不少于 6个1000M电口,不少于 2个SFP光口(带SFP模块), 具备独立的管理口和 HA 口;可用磁盘空间不小于 2T;吞吐能力》2000M峰值处...
计算机化系统数据审计追踪管理规程
03-12
它是一种记录系统活动和用户行为的日志,包括但不限于数据修改、访问时间、操作者身份等关键信息。这些记录有助于在后续的审核中追踪数据变化的全过程,以便发现潜在的问题、错误或不合规行为。 在“计算机化系统...
设置系统时间、同步网络时间
12-28
对于Linux系统,如Ubuntu,可以使用`date`命令手动修改系统时间,如`sudo date -s "HH:MM:SS"`。至于硬件时钟,可以使用`hwclock`命令查看或修改。要同步网络时间,安装`ntp`(Network Time Protocol)软件包,然后...
不同数据库之间时间格式转换及系统时间
02-19
不同数据库之间的时间格式,及字符串转时间,以及系统时间
linux 审计工具auditd日志audit.log时间戳转换查看
weixin_33738982的博客
07-25 3241
最近由于机房安全规范的要求,需要第三方软件进行系统安全审计linux操作系统默认有登陆、定时任务等审计,要查看其日志的时候发现时间格式为unix时间戳格式,阅读起来很不方便,便想将其中的时间戳转换成为普通时间进行查看网上普遍的做法为使用perl脚本在阅读时进行转换cat time.pls/(1\d{9})/localtime($1)/e然后使用管道命令进行转换 les...
audit-审计服务
sda1_hacker的博客
05-14 1919
audit审计服务和aide系统入侵检测的功能类似。 aide可以检测某个时间段内指定的文件是否被修改,至于是哪个用户修改的,aide无法进行检测,也不能提供保护功能。 audit可以检测哪些用户,在哪些时间段,使用了哪些命令,对哪些文件进行了操作,仅仅只是提供记录的命令(日志),不提供保护功能。 audit记录的内容:时间与事件、事件的结果、触发时间的用户、所有认证机制(输入用户名和密码)、对关...
一个比较龌龊的防止修改系统时间的方法。
a98444384的博客
05-25 448
上个关机小程序里防止修改系统时间没有实现这个功能。现在发现了一个个人认为比较龌龊的方法,有兴趣的朋友试试看吧。    把下面这段代码放到. Time里面就可以了.    HWND HWndCalculator; HWndCalculator = FindWindow(NULL, "日期和时间 属性"); if (HWndCalculato...
C++性能之战(0)--Linux时间相关函数总结
白夜行的狼
12-28 1209
0. 写在最前面 本文持续更新地址:https://haoqchen.site/2019/12/17/linux-time-summary/ 最近写程序涉及到时间相关的,包括当前时间呀,进程运行的时间差呀,线程某段程序的时间消耗呀等等。然后查了比较多Linux下的时间函数。发现每个函数之间都有或多或少的区别,应用场景很不一样。在此做个总结和记录。 如无特殊说明,我的系统是Ubuntu1604(64...
Linux时间系统之(三):用户空间接口函数
生活需要深度
02-03 958
需要指出的是MONOTONIC类型的时钟不是绝对时间的概念,多半是计算两个采样点之间的时间,并且保证采样点之间时间的单调性。gettimeofday函数可以获取从linux epoch到当前时间点的秒数以及微秒数(在内核态,这个时间值仍然是通过timekeeper模块获得的,具体接口是getnstimeofday64,该接口的时间精度是纳秒级别的,不过没有关系,除以1000就获得微秒级别的精度了),settimeofday则是设定从linux epoch到当前时间点的秒数以及微秒数。
linuxptp的接口函数列举
就是个linux工程师的博客
11-03 3048
欢迎淘宝搜索飞灵科技,我司相关新产品陆续上线。 之前的博文IEEE 1588/802.1AS标准、硬件,Linux软件学习建议中有一段介绍了1588整体的软硬件系统。我搬到这里作为第1章,而这篇文章简单列举下linuxptp软件和内核空间的接口函数。 系统框图 我们通过一个系统框图对1588软硬件系统进行整体的认识。这个系统框图是基于Linux操作系统的,纯FPGA的1588实现就不介绍了。 硬件层:硬件层就是带有1588硬件辅助的网络控制器,由硬件PTP时钟向网络报文提供时间戳,时间戳的捕获是在M.
kernel日志时间转换函数
junjle的专栏
07-07 4296
kernel日志时间转换函数
格式化时间、Date.after和Date.before的用法、
柠檬喜欢水蜜桃的博客
07-30 2338
1、fastJson是这种注解 @JsonFiled(format = "yyyy-MM-dd") 2、jackson是这样的 @JsonFormat(pattern=“yyyy/MM/dd”,timezone=“GMT+8”) @DateTImeFormat(pattern=“yyyy/MM/dd”) 注解 @JsonFormat 主要是后台到前台的时间格式的转换 注解@DareTimeFormat主要是前台到后台的时间格式化的转换 ...
博睿勤数据库审计系统解决专项方案Vdec.docx
11-24
博睿勤数据库审计系统解决专项方案Vdec.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值