hydd的Linux笔记Day51

最新推荐文章于 2024-04-15 22:44:29 发布
最新推荐文章于 2024-04-15 22:44:29 发布
阅读量214 收藏 1
点赞数
文章标签: linux nginx 数据库 安全 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hegusailuo/article/details/109713391
版权

Day51

系统审计

概述

​ 审计是基于事先配置的规则,记录可能发生在系统上的事件。审计不会为系统提供额外的安全防护,但它会发现并记录违反安全策略的人及记录其对应的行为。

​ 审计能够记录的日志内容:

​ 日期与事件、事件结果

​ 触发事件的用户

​ 所有认证机制的使用都可以被记录,如ssh等

​ 对关键数据文件修改行为等。

审计的案例

​ 监控文件的访问

​ 监控系统的调用

​ 记录用户运行的命令

​ 监控网络行为

配置audit审计系统

1)安装软件包,查看配置文件(确定审计日志的位置)

[root@proxy ~]# yum -y  install  audit                #安装软件包
[root@proxy ~]# cat /etc/audit/auditd.conf            #查看配置文件,确定日志位置
log_file = /var/log/audit/audit.log                #日志文件路径
[root@proxy ~]# systemctl start auditd                #启动服务
[root@proxy ~]# systemctl enable auditd            #设置开机自启

2)配置审计规则

可以使用auditctl命令控制审计系统并设置规则决定哪些行为会被记录日志。

语法格式如下:

[root@proxy ~]# auditctl  -s                        #查询状态
[root@proxy ~]# auditctl  -l                        #查看规则
[root@proxy ~]# auditctl  -D                        #删除所有规则

定义临时文件系统规则:

#语法格式:auditctl  -w  path  -p  permission  -k  key_name
# path为需要审计的文件或目录
# 权限可以是r(读),w(写),x(执行),a(文件或目录的属性发生变化)
# -k后面指定key_name,key_name为可选项,方便识别哪些规则生成特定的日志项
# key_name名称可以任意
[root@proxy ~]# auditctl  -w  /etc/passwd  -p wa  -k  passwd_change
#设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
 [root@proxy ~]# auditctl  -w  /etc/selinux/  -p wa  -k  selinux_change
#设置规则,监控/etc/selinux目录
 [root@proxy ~]# auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition
#设置规则,监控fdisk程序
[root@proxy ~]# auditctl  -w  /etc/ssh/sshd_config  -p warx  -k  sshd_config
#设置规则,监控sshd_config文件

如果需要创建永久审计规则,则需要修改规则配置文件:

[root@proxy ~]# vim  /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_changes
-w /usr/sbin/fdisk -p x -k partition_disks
查看并分析日志

1)手动查看日志

查看SSH的主配置文件/etc/ssh/sshd_config,再查看audit日志信息:

[root@proxy ~]# cat /etc/ssh/sshd_config
[root@proxy ~]# tailf  /var/log/audit/audit.log
type=SYSCALL msg=audit(1517557590.644:229228): arch=c000003e 
syscall=2 success=yes exit=3 
a0=7fff71721839 a1=0 a2=1fffffffffff0000 a3=7fff717204c0 
items=1 ppid=7654 pid=7808 auid=0 uid=0 gid=0 euid=0 suid=0 
fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="cat" 
exe="/usr/bin/cat" 
subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"
.. ..
#内容分析
# type为类型
# msg为(time_stamp:ID),时间是date +%s(1970-1-1至今的秒数)
# arch=c000003e,代表x86_64(16进制)
# success=yes/no,事件是否成功
# a0-a3是程序调用时前4个参数,16进制编码了
# ppid父进程ID,如bash,pid进程ID,如cat命令
# auid是审核用户的id,su - test, 依然可以追踪su前的账户
# uid,gid用户与组
# tty:从哪个终端执行的命令
# comm="cat"            用户在命令行执行的指令
# exe="/bin/cat"        实际程序的路径
# key="sshd_config"    管理员定义的策略关键字key
# type=CWD        用来记录当前工作目录
# cwd="/home/username"
# type=PATH
# ouid(owner's user id)    对象所有者id
# guid(owner's groupid)    对象所有者id

2)通过工具搜索日志

系统提供的ausearch命令可以方便的搜索特定日志,默认该程序会搜索/var/log/audit/audit.log。

ausearch -k key_name -if 日志文件,在-f选项后面可以指定查看任意日志文件。

[root@proxy ~]# ausearch -k sshd_config -i    
#根据key搜索日志,-i选项表示以交互式方式操作

最低0.47元/天 解锁文章
hegusailuo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统审计与服务安全,打补丁
JReno的博客
05-30 839
什么是审计 基于事先配置号的规则生成日志,记录可能发生在系统上的事件 审计不会为系统提供额外的完全防护,但它会发现并记录违反安全策略的人及其对应的行为 审计能够记录的日志内容: 日期与事件、事件结果 触发事件的用户 所有认证机制的使用都可以记录,如SSH等 对关键数据文件的修改行为等 审计的案例 监控文件访问 监控系统调用 记录用户运行的命令 审计可以监控网络访问行为 ausearch工...
基于优化初始种子新策略的K-Means聚类算法
02-22
HYDD 算法的基本思想是对数据集进行密度排序,在此基础上选取密度大且满足距离大于密度直径的数据作为候选初始种子集,然后利用点点之间距离从大到小选取 K 个所需的种子,最后利用该初始种子集引导 K-Means 算法来...
51: 系统审计 、 服务安全 、 服务安全Linux安全之打补丁 、 总结和答疑
weixin_46575696的博客
11-13 411
CASE Top NSD SECURITY DAY05 案例1:部署audit监控文件 案例2:加固常见服务的安全 案例3:使用diff和patch工具打补丁 ...
部署audit监控文件
weixin_41176080的博客
02-12 292
1案例1:部署audit监控文件 1.1问题 本案例要求熟悉audit书籍工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现...
linux监控文件操作行为
最新发布
weixin_40539956的博客
04-15 1603
关键词(key)在这个上下文中是完全自定义的。当你使用 -k 参数在 auditd 规则中指定一个关键词时,这个关键词用于标记和识别与该规则相关的审计事件。这意味着你可以使用任何有意义的字符串作为关键词,以便于后续在审计日志中快速过滤和查找相关事件。-k auth-change 中的 auth-change 是一个自定义关键词,用于标识和过滤与 /etc/pam.d/common-auth 文件更改相关的审计事件。
嵌入式审计监控文件夹下的文件变化
SVS4414的专栏
08-04 248
创建TEMP文件,监控该文件夹下的文件创建的进程
使用audit工具常规命令监控系统访问文件
weixin_33915554的博客
10-26 952
audit工具的作用 audit工具可以对文件使用进行监控,可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。 audit工具的安装和启动 Ubuntu使用apt-get audit。centos使用yum install audit 下面命令enable和启动、停止a...
auditctl 监控文件修改
csdnhadoop的博客
04-29 6487
设置监控: auditctl  -w /root/dead.letter -p wxa -k "mon_dead" -w 监控文件路径 /root/dead.letter  -p 监控文件筛选 r(读) w(写) x(执行) a(属性改变) -k 筛选字符串,用于查询监控日志 设置了监控后,会在/var/log/audit/audit.log里出现日志。 可以用
利用Audit审计系统行为
qq_27546717的博客
09-20 269
使用 auditctl 工具,可以在你想要的任何系统调用上添加审计规则。规则会按顺序执行。下一步定义监视规则。此规则跟踪文件或目录是否由某些类型的访问触发,包括读取、写入、执行和属性更改。-w #指定所要监控的文件或命令-p #监控属性(如x执行)·r = 读取·w = 写入·x = 执行·a = 属性改变-k #指定关键词(方便在日志中查询)-D #清除规则(临时,不会清除配置文件规则)接下来,添加一个新用户。最后,检查 auditd 是否记录了更改。
Samba:查看用户在文件服务器的操作
weixin_42494218的博客
11-17 1058
Samba 提供了详细的日志,这些日志可以帮助你跟踪用户在共享文件上的操作。
linux内核audit,linux audit审计(7)--读懂audit日志
weixin_33680141的博客
04-29 469
让我们先来构造一条audit日志。在home目录下新建一个目录,然后配置一条audit规则,对这个目录的wrax,都记录审计日志:auditctl -w /home/audit_test -p wrax -k audit_testroot用户访问audit_test目录时,即在这个目录下ls,审计日志如下:type=SYSCALL msg=audit(1523501721.433:41729893...
二级等保标准和解决方法(服务器,数据库,应用)
lxl的博客
11-16 3052
二级等保标准和解决方法(服务器,数据库,应用)
谁动了我的文件——使用audit监控文件和目录
Blue summer的博客
07-13 1万+
有时候在系统上经常会遇到某个文件不知被谁修改了,或者删除了,又找不到证据,这时候audit就派上用场了。 比如我要监控/var/log/test这个目录,可以这样新增一个监控项, [root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test [root@CentOS-7-2 /var/log/test]# auditctl -l -w...
CentOS7日志审计
ezbuy的博客
07-16 1万+
写在前面的话: 最近公司在做等保,其中有审计的内容,因为第一次接触,所以在此粘贴在网上查找的各种资料,以作记录. 目录 一、用户空间审计系统简介 二、auditd配置文件 三、配置审计规则 四、审计日志内容 五、使用ausearch搜索审计日志 六、使用aureport查看审计报告 一、用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理...
linux内核mac设置,MAC访问控制机制在Linux系统中的实现:SELinux
weixin_39851914的博客
05-01 471
SELinux全称:Security-Enhanced Linux安全加强的Linux;SELinux系统的本来名称为MAC:强制访问控制;SELinux就是MAC访问控制机制在Linux系统中的实现;操作系统安全等级标准(橙皮书):D级别(最低安全级别)C级别:C1, C2 (DAC自主访问控制,例如windows等系统的安全级别为C1级别)B级别:B1, B2, B3 (强制访问控制级别M...
systemctl 命令完全指南
热门推荐
moonsheep_liu的专栏
12-05 2万+
from:https://linux.cn/article-5926-1.html 先来个简单总结(后面才是from的链接的内容): 启动一个服务:systemctl start postfix.service 关闭一个服务:systemctl stop postfix.service 重启一个服务:systemctl restart postfix.service 显示一个服务的状态:
关于LINUX审计服务Auditd systemctl重启的问题
weixin_34306446的博客
06-20 540
   在RHEL7&&CENTOS7时代,默认的服务通过systemd控制,并通过systemctl命令完成启停。但是并不是所有的服务都可以完美的通过systemctl来控制,比如今天要提到的Auditd编辑audit.rules添加规则后,当然要通过restart服务来重启生效,但是通过 systemctl restart auditd就会报如下错误:[root@abc]#  s...
Linux-Audit审计解析
qq_38135115的博客
02-20 4550
前言 Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。 Linux 用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访...
audit 审计
12-31 5787
audit子系统提供了一种纪录系统安全方面信息的方法,同时能为系统管理员在用户违反系统安全法则或存在违反的潜在可能时,提供及时的警告信息,这些audit子系统所搜集的信息包括:可被审计的事件名称,事件状态(成功或失败),别的安全相关的信息。 可被审计的事件,通常,这些事件都是定义在系统调用级别的。 脚本/APPS - 命令 - 函数(库) - System Call (系统

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值