嵌入式审计监控文件夹下的文件变化

最新推荐文章于 2024-07-25 14:24:00 发布
最新推荐文章于 2024-07-25 14:24:00 发布
阅读量269 收藏
点赞数
分类专栏: 文档 文章标签: java 数据库 jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SVS4414/article/details/126154887
版权

背景: 客户反馈TEMP目录下会异常创建0字节文件,通过审计监控是哪个进程创建的文件

1,内核

make menuconfig 里面选中这3项
    [*] Auditing support
    [*] HAVE_ARCH_AUDITSYSCALL
    [*]   Enable system-call auditing support


检查看看 .config 这几个都是 y 就可以了
    CONFIG_AUDIT=y
    CONFIG_HAVE_ARCH_AUDITSYSCALL=y
    CONFIG_AUDITSYSCALL=y
    CONFIG_AUDIT_WATCH=y
    CONFIG_AUDIT_TREE=y

2,审计工具移植

下载源码包和补丁文件: audit-1.7.18.tar.gz + audit-1.7.18-cross.patch + audit-1.7.18-sys_stat_h.patch
http://repository.timesys.com/buildsources/a/audit/audit-1.7.18/

./configure CC=arm-hisiv600-linux-gcc --host=arm-hisiv600-linux --prefix=/home/admin/audit_out/

编译
make

生成可执行文件、库文件、配置文件
make install

拷贝可执行文件到开发板的 /bin 和 /sbin 目录
拷贝库文件到开发板的 /lib 目录
拷贝配置文件到开发板的 /etc 目录
cp -rfp /home/admin/audit_out/sbin/* /sbin
cp -rfp /home/admin/audit_out/bin/* /bin
cp -rfp /home/admin/audit_out/lib/libaudit.so* /lib
cp -rfp /home/admin/audit_out/lib/libauparse.so* /lib
cp -rfp /home/admin/audit_out/etc/audit/ /etc

修改auditd.conf

内容log_file = /root/log/audit/audit.log

mkdir -p /var/log/audit
chown root /etc/audit/auditd.conf
chown root /sbin/audispd
chmod 0750 /sbin/audispd

查询命令是否报错

auditd -f

查询命令是否执行

ps | grep audit
创建监控文件夹

mkdir /TEMP

启动后台监控进程

auditd

审计规则

auditctl -w /TEMP -p warx -k auth_key

SVS4414
关注
专栏目录
物联网硬件安全与整改梳理(1)
AI
05-09 917
安全基线是信息系统最小的安全保障,是实现信息安全风险评估和风险管理的前提和基础,需建立各种系统的基线安全模型安全度量是衡量智能硬件设备的安全防御能力水平的综合评估呈现。无人值守且可能动态的智能硬件节点的远程签约信息和业务信息配置成为难点,机器与机器之间通信为需求的智能硬件网络与传统的人与人之间通信为需求的网络存在差异性。在面临传统网络的传输层和应用层的所有安全问题的同时,因智能硬件感知层采集的数据协议以及格式的多样性以及海量性带来的新的安全问题。
【人工智能】机器学习的持续交付 (CD4ML)
AI天才研究院
04-29 1万+
机器学习的持续交付 自动化机器学习应用程序的端到端生命周期 机器学习应用程序在我们的行业中变得越来越流行,但是与更传统的软件(例如 Web 服务或移动应用程序)相比,开发、部署和持续改进它们的过程更加复杂。它们会在三个轴上发生变化:代码本身、模型和数据。他们的行为通常很复杂且难以预测,而且他们更难测试、更难解释、更难改进。机器学习持续交付 (CD4ML) 是将持续交付原则和实践引入机器学习应用程序的学科。
linux内核监听文件变化,使用auditd监控Linux的文件变化
weixin_30738065的博客
04-30 574
如果没有auditd的话,使用yum安装安装即可以linux监控/tmp/xxx.dat为例:#vi/etc/audit/audit.rules#whenevertheauditdaemonisstartedviatheinitscripts.#Therulesaresimplytheparametersthatwouldbepassed#toaudi...
部署audit监控文件
weixin_41176080的博客
02-12 333
1案例1:部署audit监控文件 1.1问题 本案例要求熟悉audit书籍工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现...
audit审计超详细介绍,常见审计规则示例,与syslog、secure对比
最新发布
ayychiguoguo的博客
07-25 1616
Audit审计)在Linux系统中,特别是CentOS中,是一个用于监控和记录系统上各种操作的技术手段。Audit的主要功能是为系统管理员提供一个跟踪系统上与安全相关信息的方法。根据预配置的规则,Audit会生成日志条目,以尽可能多地记录系统上所发生的事件的相关信息。① Audit主要由以下几个部分组成:auditd:Audit守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。
51: 系统审计 、 服务安全 、 服务安全 、 Linux安全之打补丁 、 总结和答疑
weixin_46575696的博客
11-13 493
CASE Top NSD SECURITY DAY05 案例1:部署audit监控文件 案例2:加固常见服务的安全 案例3:使用diff和patch工具打补丁 ...
libevent&inotify完成文件动态监控
Nemoi的博客
08-06 937
   今天要完成类似配置文件动态刷新的功能,就查了下linux中类似的文件变化通知机制,遂发现inotify。学习了数小时,略有收获,就总结下。     inotify是linux中用来监控文件系统的一种策略。(The inotify API provides a mechanism for monitoring file system events)它可以监控一个目录或指定的文件。     ...
如何将linux audit产生的审计信息传入到其他程序中(利用audispd)
yldfree的博客
04-29 2709
前提了解: 首先我们要了解的一点前提是, 在audit启动的时候会到日志分发做初始化,其中包括对/sbin/audispd的启动(在配置文 件/etc/audit/auditd.conf中配置), 然后审计auditd会将产生的审计发送给audispd一份, 再接着,audispd可以根据自己的配置将审计信息发送给一个或多个程序,很明显我们要想将auditd的审计发...
U盘插入 自动运行 搜索硬盘数据 拷贝到U盘
12-24
5. **无显示器设备的文件拷贝**:在无显示器设备中,如服务器或嵌入式系统,文件拷贝可能需要通过远程控制或命令行界面进行。这样的环境通常需要更严格的访问控制和审计记录,以防止未经授权的数据访问或转移。 6. ...
多线程调试高手:GDB在并发环境下的高级应用
![多线程调试高手:GDB在并发环境下的高级应用]...在多线程模型中,线程共享程序的资源,例如内存空间和文件描述符,但在执行流上彼此独立,可以并发执行,从而提高程序效率和用户体验。 ## 1.2 并发与并行的区
CISA 考试大纲及考点
喃喃不爱说话的博客空间
01-16 8397
CISA 学习笔记 第一章 信息系统的审计流程 【开篇讲明 怎么审计 审计师应该如何开展工作】 第二章 IT 治理和管理 【后四章讲审什么 如何以审计师的视角 来看IT信息系统】 第三章 信息系统的购置开发和实施 第四章 信息系统的操作维护与支持 第五章 信息资产的保护 第一章 信息系统的审计流程 1、信息系统审计的职能管理: 1.2 信息系统审计的职能管理 应当...
gdbserver_hisi_v100nptl
06-05
gdb、gdbserver、libc等动态库。用于海思平台gdb远程调试,编译器为arm-hisiv100nptl-linux-gcc。
谁动了我的文件——使用audit监控文件和目录
热门推荐
Blue summer的博客
07-13 1万+
有时候在系统上经常会遇到某个文件不知被谁修改了,或者删除了,又找不到证据,这时候audit就派上用场了。 比如我要监控/var/log/test这个目录,可以这样新增一个监控项, [root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test [root@CentOS-7-2 /var/log/test]# auditctl -l -w...
linux nginx常用命令
wangc_gogo的博客
11-20 196
强制赋值覆盖: cp -rfp source target 查看linux 最大的文件的句柄数,一般设置为65535 ulimit -n
通过audit监控某个文件的写操作
llxx1234的博客
05-27 992
按照下面的步骤可以增加对某个文件写操作的监控, 1、vi /etc/audit/rules.d/audit.rules在最后一行加入一行 -w 文件名字 -p w -k 别名(test) 2、 执行service auditd restart 3、获取监控结果,有两种方法 cat /var/log/audit/audit.log |grep test au...
cp -rf 提示覆盖解决办法
weixin_34194317的博客
01-10 883
  cp覆盖时,无论加什么参数-f之类的还是提示是否覆盖,当文件比较少的时候还可以按Y确认,当很多文件的时候就不好说了 方法一:vi ~/.bashrc # .bashrc # User specific aliases and functions alias rm='rm -i' alias cp='cp -i' alias mv='mv -i' # Source global defi...
linux cp -rf 没有覆盖,Linux下cp -rf总是提示覆盖的解决办法
weixin_31777631的博客
05-16 2565
简介这篇文章主要介绍了Linux下cp -rf总是提示覆盖的解决办法以及相关的经验技巧,文章约2459字,浏览量147,点赞数1,值得参考!通常情况下使用cp -rf进行文件或者文件夹的管理时一般就不再提醒是否覆盖。然而在内网的一台机器上使用cp -rf却提示是否覆盖。难道和常用的命令不同?[[emailprotected] test]# cp -rf ./files/ ./bak/cp:是否覆...
嵌入式Linux驱动下的网络视频监控系统设计与实现
本研究论文深入探讨了"基于嵌入式Linux的网络视频监控系统"这一主题,主要针对的是计算机技术领域的两个重要趋势——Linux和嵌入式系统的融合。Linux以其开源特性、轻量级内核、跨平台兼容性和强大的网络功能,在...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值