linux审计相关

最新推荐文章于 2023-09-15 11:26:31 发布
最新推荐文章于 2023-09-15 11:26:31 发布
阅读量1.2k 收藏
点赞数
分类专栏: linux 计算机安全 server 文章标签: linux tomcat file date 脚本 测试
linux 同时被 3 个专栏收录
116 篇文章 0 订阅
订阅专栏
server
114 篇文章 0 订阅
订阅专栏
计算机安全
19 篇文章 0 订阅
订阅专栏

1.2.6的audit


/var/log/audit/audit.log


2.sa / lastcomm /accton


/var/account/pacct  不过默认把这个放在/var/log下面好切分


3.用script -f 来记录

http://hi.baidu.com/ubuntu2me/blog/item/7e6d86cf7c77e70f93457e4d.html

有时候我们需要记录Linux用户的操作记录用于审计,因此就要避免用户可以自行清除操作日志,一个简单的方式是使用script功能。

首先在用户的profile文件中开启记录功能:

[banping@linux ~]$ cd /home/banping/
[banping@linux ~]$ vi .bash_profile
# write log
exec /usr/bin/script -a -f -q /tmp/test/script-`date +%Y%m%d%k%M`.lst

这行脚本的意思是在/tmp/test目录下以时间为文件名来记录操作信息,由于是写在了.bash_profile文件中,用户登入到Linux 系统的时候就会触发执行。

然后我们在/tmp下建立test目录存放操作日志信息即可:

[banping@linux tmp]# mkdir test

这样就实现了记录的功能,而要防止用户自行修改,我们可以设置这些文件只能被附加,不能被修改或删除:

[root@linux banping]# chattr +a .bash_profile

[root@linux tmp]# chattr +a -R test

这样登录用户就无法修改这些信息了,以下是一个简单的测试:

[root@tomcat tmp]# cd test
[root@tomcat test]# touch 1.txt
[root@tomcat test]# rm 1.txt
rm: remove regular empty file `1.txt'? y
rm: cannot remove `1.txt': Operation not permitted
[root@tomcat test]# cd ..
[root@tomcat tmp]# chattr -a -R test
[root@tomcat tmp]# cd test
[root@tomcat test]# rm 1.txt
rm: remove regular empty file `1.txt'? y
ak47mig
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
审计日志(audit_log )文件过大
HighGO
08-03 4057
目录 环境 症状 问题原因 解决方案 环境 系统平台:N/A 版本:4.3.4,4.3.4.2,4.3.4.3,4.3.4.4,4.3.4.5,4.3.4.6,4.3.4.7 症状 数据库审计日志文件无限扩增,未启动自动清理机制,磁盘爆满导致数据库异常停止。 问题原因 原因是安全审计配置会影响磁盘空间的使用。 业务量大的时候,会生成大量审计日志,占用大量磁盘空间。 而磁盘空间较小时,很可能造成数据库故障。 默认情况下审计的范围是all,审计数据库所有的操作。审计的..
linux centos7清除系统日志、历史记录、登录信息
魔拉宝
10-01 1万+
平时不管是web还是系统产生的日志都可能导致洗盘爆满,所以我在这里分享一些基本常用清理linux日志的方法。 # echo > /var/log/wtmp //清除用户登录记录 # echo > /var/log/btmp //清除尝试登录记录 # echo>/var/log/lastlog //清除最近登录信息 # echo > /var/log/secure //登...
linux日志分析与痕迹清理
weixin_52395937的博客
11-23 1540
linux日志路径 auth.log/secure 用户登录日志以及其权限 btmp/wtmp 登录失败记录/用户登录记录 lastlog/faillog 最后一次登录记录/登录失败记录 /var/log/messages — 包括整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中。 /var/log/dmesg — 包含内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许
Linux审计与日志安全加固
cainiao17441898的博客
11-08 4098
审计和日志服务配置 审计数据配置 日志文件最大参数 在储存策略(/etc/audit/audit.conf)中配置max_log_file=<MB> 当审计日志满的时候停止系统 space_left_action=email action_mail_acct=root admin_space_left_action=halt 当审计日志文件达到最大时,替换日志但不删除。 max_log_file_action=keep_logs 启动audit守护进程记录系统时间,查看是否有未经授权的访问信息
linux加强审计日志文件权限
qq_17576885的博客
12-29 1702
说明 加强审计日志文件的权限,避免日志信息被恶意操作。 检查方法 1)在终端中输入命令: [test@localhost ~]$ ls -l /var/log/audit [test@localhost ~]$ ls -ld /var/log/audit 2)根据回显信息查看权限设置 修改建议 1)建议将整个audit文件夹设置成只允许root或审计账户用户操作,文件夹内文件设置具体权限。 2)修改权限命令如: [test@localhost ~]$ sudo chmod -R 700 /var/log/.
linux安全审计扫描工具-Lynis
08-15
Linux安全审计扫描工具Lynis是一款强大的开源工具,主要用于评估和增强Linux系统的安全性。它适合于开发者、系统管理员、审计管理员以及渗透测试人员使用,帮助他们进行合规性测试、系统安全评估以及防御加固。Lynis...
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
Linux系统设计-kali linux审计系统工具使用方法
最新发布
01-10
Linux系统具有高效的网络功能和稳定的性能,因此被广泛应用于服务器领域,Linux是云计算的核心组成部分,被广泛用于构建云平台和云服务。许多知名的云计算服务提供商都采用Linux系统作为其基础架构,一些游戏平台和...
关于Linux审计信息的获取.pdf
09-07
关于Linux审计信息的获取.pdf
构建linux审计系统
05-05
### 构建Linux审计系统详解 #### 一、引言 在现代企业的IT环境中,Linux服务器作为关键的基础架构之一,承载着重要的业务数据和服务。为了确保这些系统的安全性、合规性和可追溯性,构建一个有效的Linux审计系统变...
解决Hadoop审计日志hdfs-audit.log过大的问题
白杨Shayne的博客
08-02 2544
新搭建的Hadoop环境没怎么用,就一个环境天天空跑,结果今天运维告诉我说有一台服务器磁盘超过80%了,真是太奇怪了,平台上就跑了几个spark测试程序,哪来的数据呢?终于发现在Hadoop的日志目录下,有一堆hdfs-audit.log日志,并且每个都有好几百M,删除之后,跟目录瞬间从81%减低到了42%;过了几天后,再检查服务器,发现磁盘根目录使用率没有明显增大,问题完美解决了~问题是暂时解决了,可这样不是长久之计,审计日志还在写,过几天还得来删除。用df查看,是根目录,还不是数据盘;
宝塔面板/var/log/日志和缓存占用磁盘空间很大,如何清理?
dnpao的专栏
09-15 3696
按照它写的进行了操作,完美了减少了 journal 日志和限制的配置,运行后减少了空间,我就没继续折腾了,但搜索发现还可以通过 “logrotate”日志管理工具进行配置,但不会用有兴趣的可以查看以下文章。如果 /var/cache/dnf/gitlab-ce-* 占据了大量空间,这意味着 GitLab CE(Community Edition)的软件包及其依赖在这里被缓存了。我这边是 /var/log和var/cache两个目录占用空间很大,进入/var/log/下再次运行。
【Sharepoint】 备份与清理Audit log
oscar999的专栏
11-17 4884
Sharepoint Audit Log 是什么?  就是一个记录用户访问操作Sharepoint的日志的功能。  是给管理员了解当前网站的访问状况, 哪些帐号经常访问哪些站点。 设置方式是进入到Site Setting 页面, 在Site Collection Administration下面有一个 “Site collection audit settings” link, 点击进入
Linuxaudit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
hdfs-audit.log audit日志 审计日志导致磁盘空间不足
LZX的博客
05-25 1533
基于ambari部署hadoop /var/log/hdfs/下含有大量审计日志导致磁盘空间占满 ...... -rw-r--r-- 1 hdfs hadoop 12188299101 May 20 23:59 hdfs-audit.log.2021-05-20 -rw-r--r-- 1 hdfs hadoop 12194929677 May 21 23:59 hdfs-audit.log.2021-05-21 -rw-r--r-- 1 hdfs hadoop 12202372668 May 22 23:5
android审计日志,hdfs auditlog(审计日志)
weixin_31889705的博客
06-03 949
hdfs审计日志(Auditlog)记录了用户针对hdfs的所有操作,详细信息包括操作成功与否、用户名称、客户机地址、操作命令、操作的目录等。对于用户的每一个操作,namenode都会将这些信息以key-value对的形式组织成固定格式的一条日志,然后记录到audit.log文件中。通过审计日志,我们可以实时查看hdfs的各种操作状况、可以追踪各种误操作、可以做一些指标监控等等。hdfs的审计日志...
.log不能随便删!
六个九十度
11-23 4363
昨天下午我在win2000下按win+F搜索了所有的.log文件准备将他们一举删除,但是我不经意见发现很多install.log位于d:/Program Files目录下于是用记事本打开一看,发现其格式很有规则,都实先拷贝unwise.exe文件我想这可能是用同一个安装程序的结果,那末卸载程序也一定是相同的了,而且卸载程序很可能会用到这种文件于是我是试着将其中一个程序的install.log文件放
Linux系统用户操作审计配置指南
该资源是关于在Linux CentOS系统中如何进行添加用户操作记录审计的教程。主要步骤包括创建专门的审计用户、修改审计账号权限、授权审计用户、配置系统用户命令行操作记录日志以及测试验证整个流程。 1. 创建审计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值