SELinux auditd日志使用方法详解

最新推荐文章于 2024-05-06 11:24:33 发布
最新推荐文章于 2024-05-06 11:24:33 发布
阅读量782 收藏 3
点赞数
分类专栏: 大数据 互联网 人工智能 文章标签: Linux  大数据 大数据开发 大数据学习 大数据分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiujiudsj/article/details/104195447
版权

auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。这个文件中记录的信息会非常多,如果手工查看,则效率将非常低下。比如笔者的 Linux 中这个日志的大小就有 386KB。

 

[root@localhost ~]# ll -h /var/log/audit/audit.log
-rw——-.1 root root 386K 6月 5 15:53 /var/log/audit/audit.log

而且我们这里的 Linux 只是实验用的虚拟机,如果是真正的生产服务器,那么这个日志的大小将更加恐怖(注意:audit.log 并没有自动加入 logrotate 日志轮替当中,需要手工让这个日志进行轮替)。所以,如果我们手工查看这个日志,那么效率会非常低下。

还好,Linux 较为人性化,给我们准备了几个工具,来帮助我们分析这个日志,下面分别来学习一下。

audit2why命令

audit2why 命令用来分析 audit.log 日志文件,并分析 SELinux 为什么会拒绝进程的访问。也就是说,这个命令显示的都是 SELinux 的拒绝访问信息,而正确的信息会被忽略。命令的格式也非常简单,如下:

[root@localhost ~]# audit2why < 日志文件名

例如:

[root@localhost ~]# audit2why < /var/log/audit/audit.log
type=AVC msg=audit(1370412789.400:858): avc: denied { getattr ) for pid=25624 comm="httpd"

最低0.47元/天 解锁文章
jiujiudsj
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
auditd日志分析方法
weixin_38637595的博客
05-22 2866
auditd是监听目录下的文件操作 你可以通过auditd配置你要监听的目录,之后对这个目录下的操作会记录到autitd的日志中 这里先不讲如何去配置auditd,这里讲如何去分析auditd日志 auditd原理简介 首先我们创建文件也好,删除文件也好,都是由进程帮我们去执行的 linux内核提供接口,可以查询进程对文件的操作 autitd记录的就是文件操作时涉及到的数据记录下来 所以只要分析日志就可以判断出是谁对哪个文件进行了什么操作 本文只分享分析方法,这里就讲得粗糙些 怎么去分析 这
分析SELinux日志,排除SELinux疑难
chuyanwen8507的博客
03-25 757
觉得有用请顶一下,谢谢 你终有一天会被 SELinux 阻止你访问所需的东西,而且要解决这个问题。SELinux 拒绝某个文件、进程或资源被访问的基要原因有数个: 1 一个被错误标签的文件 2 一个进程在错误的 SELinux 安全性脉络下运行 3 政策出错。某个...
53命令使用_SELinux auditd日志使用方法详解
weixin_30458701的博客
01-05 429
auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。这个文件中记录的信息会非常多,如果手工查看,则效率将非常低下。比如笔者的 Linux 中这个日志的大小就有 386KB。[root@localhost ~]# ll -h /var/log/audit/audit.log-rw-------.1 root root 386K 6月...
Ubuntu上使用audit2allow解决Android Selinux问题
最新发布
fred专栏
05-06 430
遇到错误,提示需要用-p指定policy file,然偶尝试创建一个policy空文件,用-p选项,遇到如下错误。首先跟进错误log的堆栈信息找到源码,尝试把352行和354行注释掉,试试。提前用dmesg或者串口抓取kernel log。
linux下进行日志排查,分析SELinux日志,排查SELinux故障
weixin_32268169的博客
05-04 728
你终有一天会被 SELinux 阻止你访问所需的东西,而且要解决这个问题。SELinux 拒绝某个文件、进程或资源被访问的基要原因有数个:1 一个被错误标签的文件2 一个进程在错误的 SELinux 安全性脉络下运行3 政策出错。某个进程要访问一个在编写政策时意料不到的文件,并产生错误信息4 一个入侵的企图。头三个情况我们可以处理,而第四个正正是预期的表现。先安装setroubleshoot 组件...
对比Auditbeat和Filebeat(auditd模块)采集linux审计日志(audit.log)
不以物喜的博客
03-24 1676
0 前提条件 已经安装并部署好了EFK集群,EFK集群从零开始部署详见教程。
关闭selinux(防火墙)方法分享
09-15
**关闭 SELinux (防火墙) 的方法** 在 Linux 系统中,特别是 CentOS 发行版,SELinux(Security-Enhanced Linux)是一个强制访问控制安全模块,它为系统提供了额外的安全层。然而,在某些情况下,如开发环境或特定...
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的LinuxSELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
SELinux安全工具使用详解
10-21
**SELinux(Security-Enhanced Linux)安全工具使用详解** SELinux,全称为安全增强型Linux,是由美国国家安全局(NSA)开发的一种强制访问控制(MAC)机制,旨在提高Linux操作系统的安全性。它通过细粒度的权限...
selinux 学习笔记,帮助学习seLinux 使用
11-08
SELinux 学习笔记】 SELinux,全称 Security-Enhanced Linux,是 Linux 操作系统中的一个强制访问控制(Mandatory Access Control, MAC)框架,旨在提高系统的安全性,防止恶意攻击者通过权限提升和权限滥用来...
SELinux 入门详解
01-09
要查看当前的SELinux状态,可以使用`getenforce`命令,而要改变模式,可以使用`setenforce`命令。例如,要将模式切换到Enforcing,执行`setenforce 1`,要切换到Permissive,执行`setenforce 0`。不过,长期禁用...
详解Android Selinux 权限及问题
01-20
由于现做的是MTK平台,源码路径基于MTK, 不过高通大同小异 ...SELinux 分为两种模式,Android 5.0 后所有进程都使用 enforcing mode。 enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 SELin
Linuxselinux基础配置教程详解
01-10
selinux(Security-Enhanced Linux)安全增强型linux,是一个Linux内核模块,也是Linux的一个安全子系统。 三种模式: Enforcing:强制模式,在selinux运作时,已经开始限制domain/type。 permissive: 警告模式,在...
SELINUX工作原理详解
09-14
**SELinux工作原理详解** **一、SELinux简介** SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,并由SELinux社区持续维护。它通过Linux Security Modules(LSM)...
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
selinux日志找回
weixin_34096182的博客
04-12 336
在RHEL6环境下,有时候selinux 在enforce状态下,用sealert -a /var/log/audit/audit.log那里却找不到denials 。原来selinux有一个默认拒绝记录模块加载了,如果要有更全面的log,那必须加载一个新的模块semodule --disable_dontaudit --build或者semodule -DB资料来源于htt...
关于rsyslog转发auditd日志配置过程及问题排查
喜欢悠闲的博客
08-05 1455
于是再次查找了日志信息 中(audispd: No plugins found, exiting),询问gpt后,了解到audispd一个非常重要的组件,audispd是一个用于处理和转发audit事件的守护程序。在反复修改rsyslog.conf配置文件时,发现每次使用命令systemctl stop audit停止服务,服务端可以收到来自客户端的audit日志,但是用命令systemctl start audit开启服务后,则服务端停止接收audit日志。MODULES:定义消息来源的模块。
linux的审计功能
lishenglong666的专栏
12-16 3714
linux的审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
SELinuxaudit 日志怎么查看
06-01
SELinuxaudit 日志可以通过 `ausearch` 和 `auditd` 工具来查看。具体步骤如下: 1. 查看最近的 SELinux audit 日志,可以使用以下命令: ``` sudo ausearch -m AVC,USER_AVC,SELINUX_ERR -ts recent ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值