auditd 监控网络

最新推荐文章于 2025-03-06 07:00:00 发布
最新推荐文章于 2025-03-06 07:00:00 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoguangwu/article/details/90710394
版权
博客介绍了auditd的安装及启动状态查看方法,通过service auditd status命令判断是否启动。还展示了查看和添加规则的操作,如auditctl -l和auditctl -a等命令。运行测试程序后,可通过tail -f /var/log/audit/audit.log或ausearch查看日志,最后介绍了添加过滤规则的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

安装auditd

 

查看auditd是否启动

service auditd status

如果出现  Active: active (running),说明已启动。

 

先查看规则:

auditctl -l

添加规则:

auditctl -a always,exit -F arch=b64 -S socket
auditctl -a always,exit -F arch=b64 -S connect
auditctl -a always,exit -F arch=b64 -S sendmmsg
auditctl -a always,exit -F arch=b64 -S sendmsg
auditctl -a always,exit -F arch=b64 -S bind
auditctl -a always,exit -F arch=b64 -S recvmsg
auditctl -a always,exit -F arch=b64 -S close

类似这样的规则,

运行测试程序

例如: echo "Hello World\!" | nc -4u 192.168.1.163 5000

通过查看tail -f /var/log/audit/audit.log系统调用

或者ausearch查看日志

 

 

添加过滤规则

auditctl -a always,exit   -F  a0!=0

2022全国职业技能大赛—网络系统管理—Debian模块:AIDE--安全监控策略
君逍遥o
10-23 419
网络系统管理;debian;AIDE;安全监控策略
Linux安全基线-audit审计规则配置7小项(CentOS8)
bigwood99的博客
09-30 1688
监视与文件和文件属性的删除或重命名关联的系统调用的使用。此配置语句设置对unlink(删除文件),unlinkat(删除文件属性),rename(重命名文件)和renameat(重命名文件属性)系统调用的监视,并使用标识符“delete”对其进行标记。以下参数监视sethostname(设置系统主机名)或setdomainname(设置系统域名)系统调用,并在系统调用出口上写入审核事件。并且将审核记录写入文件/var/log/audit.log,并用标识符“ time-change”标记记录。
puppy-hids:Linux主机入侵检测系统演示,采用netlink_audit协议,支持主机与容器进程,网络,文件监控
03-11
方便使用 四个模块: 网站:前端输入服务器检测规则,黑白名单,代理监控文件,审核规则到mongodb;响应代理定时获取在线服务器列表 服务器:提供代理rpc服务器调用,从mongodb中获取代理监控配置,保存服务器在线信息到mongodb,发送日志到进行可视化 代理:netlink家族的NETLINK_AUDIT协议监听SYSCALL时间,规则可以动态配置;读取/ proc文件系统需要管理员权限运行 守护程序:响应服务器指令下发(socket) 系统采用netlink_audit协议检测进程执行,连接系统调用,仅依赖内核kauditd,这个在内核2.6集成;对于安装第三方auditd用户程序服务需要停止,否则代理接收不到系统通过netlink传递的事件信息,通过libpcap抓取网络连接五元组信息,在/ proc补全进程argv,comm,path等信息,对与短暂进程,网络连接建立LRU
使用audit工具常规命令监控系统访问文件
weixin_33915554的博客
10-26 1022
audit工具的作用 audit工具可以对文件使用进行监控,可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。 audit工具的安装和启动 Ubuntu使用apt-get audit。centos使用yum install audit 下面命令enable和启动、停止a...
Linux系统之auditd详解
最新发布
weixin_56303229的博客
03-06 362
auditd 是 Linux 审计系统的核心守护进程,它负责从内核审计框架收集信息,并将其写入磁盘上的日志文件中。通过 auditd,管理员可以监控系统的各种活动,包括文件访问、权限更改、系统调用等,这对于提高系统的安全性以及满足合规性要求非常重要。
AUDIT】审计并记录用户连接数据库信息
cuanchuwei1207的博客
12-16 293
为防止恶意用户对系统进行攻击,我们可以监控系统的连接情况。与此同时结合定期检查和分析,便可以迅速的发现那些异常和非法的数据库连接。实现对Oracle系统登录的审计的方法不是唯一的,这里给出使用触发器记录用户登...
atop和audit对服务器进行监控
warrah 南极狼
01-16 819
出现这个问题-bash: [: : integer expression expected,没有找到真正原因是什么,因为从监控没看到来自外部的攻击,下面的脚本已经验证过,也发现什么异常,但实地问题就出现了.ls、cat、vi、ll等命令全都执行不了 跟踪发现环境变量中文件被删掉了 如果同一个目录都是空的,还可以理解,但是/usr/bin目录下并不是所有都是空的 云厂商工程师,先将系统盘卸载掉,挂靠到没有问题的服务器上,进行跟进。到了新服务器上,这个磁盘就是数据盘了,里面很多东西就可以读写了。的确是个好
部署auditd对关键服务器上的操作进行审计
胡振伟博客
06-04 393
部署auditd对关键服务器上的操作进行审计 文章目录部署auditd对关键服务器上的操作进行审计安装auditd包编写针对aaa、bbb程序文件的执行、写入的auditd rules(审计规则)拷贝auditd rules到远程主机设置auditd服务开机自启动重启auditd服务相应ansible playbook及运行方式 安装auditd包 apt install auditd 编写针对aaa、bbb程序文件的执行、写入的auditd rules(审计规则) 编辑xxx.rules文件内容如下: -
linux对网络监控操作学习--端口、流量、IP
weixin_40539956的博客
04-20 2245
用户空间是指非内核代码运行的内存区域,即普通的应用程序运行的地方。用户空间提供了一个相对安全的环境,因为即使用户空间的程序崩溃,也不会直接影响到系统的稳定性。Linux系统中的用户空间程序指的是运行在用户空间的软件应用程序,与运行在内核空间的内核程序相对。总之,用户空间程序包括几乎所有普通用户直接使用的软件应用程序,而这些程序通过与内核空间进行交互,来实现对硬件资源的访问和管理。auditd是Linux系统的审计守护进程,可以记录系统上的所有活动,包括网络活动,提供详细的审计功能。
Linux系统审计:使用auditd进行有效监控的指南
[Linux系统审计:使用auditd进行有效监控的指南](https://www.filecloud.com/supportdocs/fcdoc/files/latest/server/169874798/169874799/1/1671643173000/WebAudit.jpg) # 1. Linux系统审计概述 Linux系统审计是...
linux监控文件变化的程序,在 Linux 下监控程序修改文件
weixin_35478664的博客
05-07 2119
工作中, 有时候我们需要知道某个文件是否被修改了, 被哪个程序修改了. Linux 下可以很方便地监控某个文件被修改的记录. 根据目的不同, Linux 下有不同的监视文件或文件夹的方案.A. AuditdAuditd 可以很方便监控记录哪些程序和用户对指定文件 (即使不存在) 做的操作.安装 auditd一般发行版软件仓库里都会有 auditd 安装包. 如果默认没有安装, 可以很方便地利用包管...
如何监控 Linux 服务器状态
09-14
- `netstat`: 可以查看网络连接状态、路由表、接口统计等,有助于排查网络问题。 - `dmesg`: 显示内核消息,帮助诊断系统启动时的问题。 - `sar`: 系统活动报告(System Activity Reporter),可以定期收集并分析...
IPAudit网络监控安装和设置
weixin_33816821的博客
03-30 414
ntop bandwithd都用过了。又找到这么一个软件。 装上看看吧。 本文参考了软件自带的文档和[url]http://blog.chinaunix.net/u/19412/showart_214541.html[/url] step1 创建用户ipaudit#useradd ipaudit step2 下载源码包#wget [url]http://nchc...
部署audit监控文件
weixin_34205076的博客
06-30 489
1.案例1:部署audit监控文件2.案例2:加固常见服务的安全3.案例3:使用diff和patch工具打补丁1 案例1:部署audit监控文件1.1 问题本案例要求熟悉audit审计工具的基本使用,完成以下任务操作:1.使用audit监控/etc/ssh/sshd_config2.当该文件发生任何变化即记录日志3.通过手动和ausearch工具查看日志内容1.2 方案审计的目的是基于事先配置的规...
等保篇-LINXU操作系统等保测评指南_等保测评linux命令(2)
m0_54853787的博客
04-09 1139
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
开启linux内核层审计,linux audit审计(2)--audit启动
weixin_34768019的博客
05-01 2625
参考:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls1、启动audit内核模块有些系统audit的内核模块时默认关闭的。可以查看/proc/cmdline,看audit=0,如果为0,则...
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4480
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
linux auditd审计的简单使用和理解
热门推荐
qq_26614295的博客
08-29 1万+
Linux下安全审计audit 系统审计 记录root操作
河静
09-24 4256
Linux下安全审计audit 系统审计 1.审计介绍 Linux 审计系统提供了一种跟踪系统上与安全相关的信息的方法。根据预先配置的规则,Audit 会生成日志条目,以尽可能多地记录有关系统上发生的事件的信息。此信息对于关键任务环境确定安全策略的违反者及其执行的操作至关重要。审计不会为您的系统提供额外的安全性;相反,它可用于发现违反您系统上使用的安全策略的情况。可以通过其他安全措施(例如 SELinux)进一步防止这些违规行为。 audit能够在日志中记录的信息有: 时间的日期时间、类型和结果 主体和
Linux操作监控工具:Tilt-0.1.1用户操作记录
Linux用户操作记录工具是一种用于监控Linux系统上用户活动的软件应用。这个工具特别适用于跳板机环境,跳板机通常是指作为进出受保护网络的一个中转服务器,具有非常关键的安全作用。在这个场景下,监控用户的操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值