背景: 客户反馈TEMP目录下会异常创建0字节文件,通过审计监控是哪个进程创建的文件
1,内核
make menuconfig 里面选中这3项
[*] Auditing support
[*] HAVE_ARCH_AUDITSYSCALL
[*] Enable system-call auditing support
检查看看 .config 这几个都是 y 就可以了
CONFIG_AUDIT=y
CONFIG_HAVE_ARCH_AUDITSYSCALL=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_WATCH=y
CONFIG_AUDIT_TREE=y
2,审计工具移植
下载源码包和补丁文件: audit-1.7.18.tar.gz + audit-1.7.18-cross.patch + audit-1.7.18-sys_stat_h.patch
http://repository.timesys.com/buildsources/a/audit/audit-1.7.18/
./configure CC=arm-hisiv600-linux-gcc --host=arm-hisiv600-linux --prefix=/home/admin/audit_out/
编译
make
生成可执行文件、库文件、配置文件
make install
拷贝可执行文件到开发板的 /bin 和 /sbin 目录
拷贝库文件到开发板的 /lib 目录
拷贝配置文件到开发板的 /etc 目录
cp -rfp /home/admin/audit_out/sbin/* /sbin
cp -rfp /home/admin/audit_out/bin/* /bin
cp -rfp /home/admin/audit_out/lib/libaudit.so* /lib
cp -rfp /home/admin/audit_out/lib/libauparse.so* /lib
cp -rfp /home/admin/audit_out/etc/audit/ /etc
修改auditd.conf
内容log_file = /root/log/audit/audit.log
mkdir -p /var/log/audit
chown root /etc/audit/auditd.conf
chown root /sbin/audispd
chmod 0750 /sbin/audispd
查询命令是否报错
auditd -f
查询命令是否执行
ps | grep audit
创建监控文件夹
mkdir /TEMP
启动后台监控进程
auditd
审计规则
auditctl -w /TEMP -p warx -k auth_key