Linux审计系统软件auditd简介

于 2024-09-11 17:33:39 发布
阅读量430 收藏 3
点赞数 2
分类专栏: 笔记 linux技术 Linux基础知识 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aw77520/article/details/142142201
版权

Linux审计系统软件auditd是一个强大的工具,用于监控和记录安全相关的信息。它最初是基于Linux 2.6.11.12版本内核开发的,主要的审计机制代码位于kernel/audit.ckernel/auditsc.c中[^4]。auditd可以记录系统调用和文件访问等事件,帮助系统管理员分析系统中发生的操作,以便于检测潜在的安全威胁。

安装auditd

在大多数现代Linux发行版中,auditd可能已经预装。如果需要安装,可以使用包管理器进行安装。例如,在基于Debian的系统(如Ubuntu)中,可以使用以下命令安装:

sudo apt-get update
sudo apt-get install auditd audispd-plugins

在基于RHEL的系统(如CentOS)中,可以使用以下命令:

sudo yum install audit

安装完成后,可以通过以下命令检查auditd服务的状态:

sudo systemctl status auditd

配置auditd

auditd的配置文件通常位于/etc/audit/auditd.conf。在这个文件中,可以设置审计规则、日志文件的位置、日志文件的格式等。例如,可以设置log_file参数来指定日志文件的路径,num_logs参数决定保留日志文件的数量,max_log_file参数限制审计日志文件的最大容量(单位为兆)[^8]。

使用auditd的命令

  • auditctl:用于添加或删除审计规则。
  • ausearch:用于搜索审计日志。
  • aureport:生成审计报告。
  • augenrules:将规则文件的内容添加到审计规则中。
添加审计规则

例如,要监控/etc/passwd文件的读写访问,可以使用以下命令:

sudo auditctl -w /etc/passwd -p rwxa -k monitor_etc_passwd

这将会在审计日志中记录所有对/etc/passwd文件的读写和属性更改操作。

查看审计日志

审计日志默认存储在/var/log/audit/audit.log。可以使用ausearch工具来搜索和查看日志:

sudo ausearch -k monitor_etc_passwd

这将显示所有与monitor_etc_passwd关键字相关的审计事件。

生成审计报告

使用aureport命令可以生成基于审计日志的报告:

sudo aureport --summary

这将提供一个审计日志的摘要报告。

`

linux审计工具audit,Linux audit安全审计工具
weixin_39707612的博客
05-03 833
/*********************************************************************** Linux audit安全审计工具* 说明:* 今天接触到安全审计,查看一下,发现内核有支持安全审计方面的东西。** 2018-4-23 深圳 宝安西乡 ...
linux开启审计进程,系统运维|Auditd-Linux 服务器安全审计工具
weixin_42680139的博客
04-28 2186
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。什么是auditd...
linux audit
weixin_34301132的博客
03-20 134
linuxaudit 服務(转载) Linuxaudit (in Redhat, Suse) 服務是什麼?以前我也不會去注意,直到有一天系統 crash,不知道為什麼,打開 Monitor,只出現一堆這樣的訊息: audit: audit_backlog=326 > audit_backlog_limit=320 audit...
Linux系统之audit
bingshanzhu的专栏
04-29 1920
Linux 提供了用来记录系统安全信息的审计系统,使用 audit 系统可以在应用程序执行期间获取比如发生错误的时间,哪个文件导致错误以及原因,什么进程导致了错误等等信息。 用户空间审计系统 Linux内核拥有包括记录系统调用和文件访问等的日志记录事件的能力,管理员可以检查这些日志,确定是否存在安全漏洞,比如多次失败的登录尝试,或者用户对系统文件不成功的访问等。 1、Linux 内核中的几种系统调...
linux系统之audit审计
liuxe1990的博客
04-23 879
什么是审计 审计案例 部署audit [root@sheji57 ~]# yum -y install audit [root@sheji57 ~]# systemctl start auditd [root@sheji57 ~]# systemctl enable auditd 定义临时规则 [root@sheji57 ~]# auditctl -w /etc/passwd -p wa...
linux audit(安全审计功能)
underzerotem的博客
05-07 1298
今天系统中遇到rc.local被人删除掉的问题,从同事那里得知一工具可以监控文件被删除或修改是被谁和哪条指令修改的,就是audit,总结了一下,尤其是注意事项,希望后续可以省掉一些问题定位时间。 Linux安全审计功能 audit详解 动机 我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,...
linux审计功能(audit
weixin_71792169的博客
09-26 3846
PART ONE 为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs) syslog会记录系统状态(硬件警告、
Linux安全监控的哨兵:深入审计系统auditd的应用
最新发布
07-11
Linux是一种开源的、基于Unix的操作系统内核,由林纳斯·托瓦兹(Linus Torvalds)在1991年首次发布。它遵循自由软件和开源开发的原则,任何人都可以自由地使用、修改和分发Linux内核。Linux内核是操作系统的核心...
Linux系统审计:使用auditd进行有效监控的指南
![Linux系统审计:使用auditd进行有效监控的指南]...本章节旨在为读者提供Linux审计的基础知识,为进一步深入理解和配置auditd服务打下坚实的基础。 ## 1.1 Linux审计的必要性 在当今安全威胁日益复杂的背景下,Lin
linux审计系统[归类].pdf
10-11
Linux审计系统是Linux操作系统中一个重要的安全功能,用于记录系统活动和安全性相关的事件。它分为内核层和用户层两大部分。内核层是审计系统的核心,负责收集和处理审计信息,而用户层则提供了与审计相关的工具和...
GNU/Linux audit英文文档
04-13
此文档是由SUSE编写的关于GNU/Linux audit的英文文档。audit的入门级必看资料。
linux审计进程进行保护,用Audit守护进程配置和审计Linux系统
weixin_39997696的博客
05-04 2068
Linux Audit守护进程是一个可以审计Linux系统事件的框架。在本文中,我们一起看看安装、配置和使用这个框架来执行Linux系统和安全审计审计目标通过使用一个强大的审计框架,系统可以追踪很多事件类型来监控和并审计它。这样的例子包括:审计文件访问和修改看看谁改变了一个特殊文件检测未授权的改变监控系统调用和函数检测异常,比如崩溃的进程为入侵检测目的设置“导火线”记录各个用户使用的命令组件这个...
linux 审计--audit
changexhao的专栏
10-15 1569
一.audit介绍 auditlinux系统中用于记录用户底层调用情况的系统,如记录用户执行的open,exit等系统调用. 并会将记录写到日志文件中. audit可以通过使用auditctl命令来添加或删除audit规则.设置针对某个用户进行记录,或针对某个 进程的进行记录. audit主要包含2个命令: auditd       audit服务进程 auditctl     au
linuxaudit服务,linux下的audit服务
weixin_34227128的博客
05-06 2747
audit [‘??d?t] 审计auditd是linux的一个审计服务。这是man下的解释auditd is the userspace component to the Linux Auditing System. It’sresponsible for writing audit records to the disk. Viewing the logs isdone with ...
linux audit 命令审计,Linux audit 审计工具
weixin_33447647的博客
05-01 419
centos 系统 audit 默认是安装的查看状态:[root@ecs-proxy ~]# service auditd status[root@ecs-proxy ~]# auditctl -s查看规则:[root@ecs-proxy ~]# auditctl -l删除规则:[root@ecs-proxy ~]# auditctl -D查看帮助:[root@ecs-proxy ~]# audi...
linux 安全审计audit 系统审计 记录root操作
sonflower123的博客
06-08 3099
Linux auditctl 使用
Linux Audit资料
tianruxishui的专栏
02-23 214
linux-audit github 官方网站 audit-userspace IBM: Linux 用户空间审计工具 audit CSDN : linux 审计(auditd)原理分析 CSDN : Linux audit详解
Linux audit详解
热门推荐
whuzm08的专栏
02-14 3万+
什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs) syslog记录的信息有限,主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值