深入了解Linux审计子系统(一)--概述

最新推荐文章于 2024-07-04 17:59:34 发布
最新推荐文章于 2024-07-04 17:59:34 发布
阅读量746 收藏
点赞数 1
分类专栏: Linux 安全审计 文章标签: linux 审计 audit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java211/article/details/105812429
版权

        Linux平台的审计系统对于普通用户来说可能比较陌生,但对于从事信息安全或系统安全的人来说是很重要的,它就像一套监控系统一样,可以记录下操作系统的每一个过程,例如用户的操作,文件的修改,系统的启动和异常以及网络活动等,这些记录都可以让你知道系统发生过什么,可以进一步了解系统安全漏洞所在,是提高系统安全性的有效支持。

审计子系统产生的背景

在早期的Linux操作系统只有syslog服务来记录系统的日志,它是由每个应用程序及内核自主提供一些信息,这就造成了每个应用的日志格式参差不齐,多少不一,难以得到有效的利用,而且它更多的是基于系统异常情况的收集,没有必要记录每个过程细节的信息。另一方面syslog作为应用层的进程,最大的局限性是对内核中发生的事件一无所知。

后来,为了实现对整个系统过程的掌控,另一方面,为了提高系统安全性的前提就是看清系统发生了什么,用户做过什么,甚至是黑客入侵时,能让他留下必要的痕迹。

为了达成这个目的,补充syslog的日志功能,在syslog的基础上扩展实现了审计子系统。

审计子系统能做什么?

 审计在原syslog的基础上,增强了对系统所有活动的监控能力,主要表现在下面几个方面:

  1.  记录用户操作,将系统进程与用户关联起来,能查看用户启动过哪些进程,以及做了哪些操作等活动记录。
  2. 形成审计报告,基于系统产生的审计日志,进一步数据分析总结,形成易于阅读的报告格式,为系统安全提供数据支持。
  3. 能审计特殊的事件过程,比如非法登录,非法操作、网络连接等细节信息
最低0.47元/天 解锁文章
Linux先生
关注
专栏目录
linux 审计系统
04-09
linux 审计系统,关于文件审计,进程审计等,属于内核的一部分。
利用 libvirt 和 Linux 审计子系统跟踪 KVM 客户机
cybertan的专栏
06-13 2049
概述 Libvirt 被广泛应用于管理 Linux® 上的虚拟化环境。它提供了各种丰富的功能,包括客户机生命周期管理、资源分配、资源管理(使用 cgroups),以及通过 SELinux 实现安全强制 (security enforcement) 等。所有这些操作均是由 libvirt 执行,主要处理被分配给客户机或从客户机释放的主机资源。 从 0.9.0 版本开始,libvirt 就能够
【安全】linux audit审计使用入门
最新发布
heike_Ch的博客
07-04 1373
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
linux内核audit,linuxaudit审计服务
weixin_39787826的博客
04-29 286
linuxaudit审计服务Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明:auditctl : 即时控制审计守护进程的行为的工具,如添加规则等。a...
linux Audit 介绍【架构篇】
killmice的专栏
08-14 1298
Linux audit的作用:帮助你了解,分析发生在你系统中的事情。 Linux 的组成: audit 内核模块----->监听系统调用,记录有价值事件audit daemon【auditd】----->把记录事件写入磁盘【/var/log/audit/audit.log】audit 命令行工具【aureport,ausearch等】------>帮助分析audit 日志
Linux 用户空间审计系统
samssm的专栏
05-15 1566
Linux 用户空间审计系统 2012-05-21 17:02 曹江华 51cto.com 字号:T | T Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后管理员可以评审这些日志,确定可能存在的安全漏洞,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux用户空间审计系统,在Red Hat Enterprise Linux
需求说明报告书-基于SSH架构的论坛系统-版区管理子系统的设计.doc
06-30
本报告的任务是详述基于SSH架构的论坛系统中版区管理子系统的具体需求,以便开发团队理解并构建出满足用户需求的高效、稳定、易用的版块管理功能。目标是提供一个支持多版块分类、用户互动、内容管理的平台,同时...
mysql-5.7.38-linux-glibc2.12-x86_64.tar.gz
08-12
1. **MySQL概述**:MySQL是一个开放源代码的、基于SQL标准的关系型数据库管理系统,由瑞典的MySQL AB公司开发,目前被Oracle公司拥有。它以其高效性、稳定性和易于管理而闻名。 2. **版本5.7**:MySQL 5.7是MySQL的...
华东理工大学Linux系统linux01.pptx
11-13
- **安全性**:包括权限控制、保护子系统审计跟踪和内核授权。 - **可移植性**:能在各种硬件平台和环境中运行。 3. **Linux发行版本**: - 主流的Linux发行版有Ubuntu、Mint、Debian、Slackware、Red Hat、...
深入了解Linux文件系统和日志文件及文件删除恢复
weixin_42280882的博客
06-26 1104
本章目录一、inode和block二、软链接和硬链接三、分析日志文件四、实验部分实验环境实验任务实验内容与步骤恢复ext3文件类型恢复误删除的xfs类型文件 一、inode和block 1.概述Linux操作系统中,文件数据包括实际内容和属性(元信息),属性包括文件权限和文件所有者。 文件存储在硬盘上,硬盘最小存储单元是“扇区”,每个扇区存储512字节。 操作系统读取硬盘的时候,不会一个个扇区的读取,这样效率太低,而是一次性连续读取8个扇区,即一次性读取一个“块”(block),块是文件存取的最小单位。
Linux内核安全审计模块的研究及实现.pdf
09-06
Linux内核安全审计模块的研究及实现.pdf
Linux之(6)Audit审计子系统
Once_day的回忆
10-11 430
详情可参考:linux audit审计系统- 小乐叔叔 - 知乎 (zhihu.com)linux audit子系统是一个用于收集记录系统、内核、用户进程发生的行为事件的一种安全审计系统。该系统可以可靠地收集有关上任何与安全相关(或与安全无关)事件的信息,它可以帮助跟踪在系统上执行过的一些操作。linux审计系统可以通过提供系统上事件详细信息,来提高系统的安全性。但是它并不能像selinux那样为系统提供额外的安全性包含措施。
audit 审计
系统运维
12-31 512
audit子系统提供了一种纪录系统安全方面信息的方法,同时能为系统管理员在用户违反系统安全法则或存在违反的潜在可能时,提供及时的警告信息,这些audit子系统所搜集的信息包括:可被审计的事件名称,事件状态(成功或失败),别的安全相关的信息。 可被审计的事件,通常,这些事件都是定义在系统调用级别的。 脚本/APPS - 命令 - 函数(库) - System Call (系统调用) ...
Linux 系统审计样例
最实用的Linux博客
11-24 1767
原贴:http://www.ibm.com/developerworks/cn/linux/l-security-audit.html?S_TACT=105AGX52&S_CMP=techcsdn Linux 系统审计样例 编写脚本测试系统审计兼容性的案例研究
linux内核审计测试,Linux安全审计工具Lynis的使用
weixin_31833307的博客
04-30 208
介绍Lynis是基于UNIX的系统的安全审计,如Linux,macOS,BSD等。它执行深入的安全扫描并在系统本身上运行。主要目标是测试安全防御并提供进一步系统强化的提示。Lynis专注于从内部扫描系统本身。它还将扫描一般系统信息,易受攻击的软件包以及可能的配置问题。系统管理员和审计员通常使用Lynis来评估其系统的安全防御。现在渗透测试人员也在他们的工具包中有Lynis。Lynis和Lynis ...
OS X系统审计子系统详解
KT的iOS开发小站
04-19 1762
OS X是下了基本安全模块BSM。审计系统的作用是跟踪用户和进程的操作。类似于Windows系统里面的日志功能。 出于安全性考虑,审计系统必须在内核层次执行,在OS X中,审计是通过Mach实现的。 默认情况下,审计日志存放在/var/audit目录下。命名方式是start_time.stop_time。其中的start_time是起始时间戳,精度为秒。最后一个日志文件的stop_time是no
Linux安全审计机制模块总体描述】
求变,从思想开始
03-18 4917
审计是事后认定违反安全规则的分析技术,安全审计为管理员在用户违反安全法则时提供及时的警告信息,实现对系统信息的追踪、审查、统计和报告等功能[1]。linux提供了用来记录系统安全事件的审计系统,审计系统包括用户空间审计系统和内核空间审计系统,用户空间审计系统由一些用户空间的审计程序组成,用来开启内核审计功能、设置审计规则和审计系统状态、接收内核审计系统发送来的审计消息并写入log文件,以及审计消息的检索和生成审计总结报告。内核审计系统用于产生和过滤内核的各种审计消息 ...
深入解析Linux内核2.6.24
18. **审计**:介绍了内核审计子系统,用于记录系统事件,提升安全性。 19. **架构特性**:针对不同硬件架构,如x86、ARM等,讨论其特定的内核实现。 20. **源代码工作**:提供了关于如何阅读和修改内核源代码的指导...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值