linux系统之audit审计

最新推荐文章于 2024-09-11 17:33:39 发布
最新推荐文章于 2024-09-11 17:33:39 发布
阅读量876 收藏 4
点赞数 2
分类专栏: 运维笔记 文章标签: linux audit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuxe1990/article/details/89465579
版权

什么是审计
在这里插入图片描述
审计案例
在这里插入图片描述
部署audit

[root@sheji57 ~]# yum -y install audit
[root@sheji57 ~]# systemctl start auditd
[root@sheji57 ~]# systemctl enable auditd

定义临时规则
在这里插入图片描述

[root@sheji57 ~]# auditctl -w /etc/passwd -p wa -k passwd_abc
[root@sheji57 ~]# auditctl -w /etc/selinux/ -p wa -k selinux_bcd
[root@sheji57 ~]# auditctl -w /usr/sbin/fdisk -p x -k fdisk_efd
[root@sheji57 ~]# auditctl -l
-w /etc/passwd -p wa -k passwd_abc
-w /etc/selinux -p wa -k selinux_bcd
-w /usr/sbin/fdisk -p x -k fdisk_efd

定义永久规则
将规则写入配置文件/etc/audit/rules.d/audit.rules

[root@sheji57 ~]# ls /var/log/audit/audit.log		//查看audit日志文件
[root@sheji57 ~]# vim /etc/audit/rules.d/audit.rules 
末尾追加:
-w /etc/passwd -p wa -k passwd_abc
-w /etc/selinux -p wa -k selinux_bcd
-w /usr/sbin/fdisk -p x -k fdisk_efd
[root@sheji57 ~]# ausearch -k passwd_abc		//查看规则项passwd_abc记录日志

查看日志
在这里插入图片描述
在这里插入图片描述

刘鑫的博客
关注
专栏目录
Linux下安全审计audit 系统审计 记录root操作
河静
09-24 4071
Linux下安全审计audit 系统审计 1.审计介绍 Linux 审计系统提供了一种跟踪系统上与安全相关的信息的方法。根据预先配置的规则,Audit 会生成日志条目,以尽可能多地记录有关系统上发生的事件的信息。此信息对于关键任务环境确定安全策略的违反者及其执行的操作至关重要。审计不会为您的系统提供额外的安全性;相反,它可用于发现违反您系统上使用的安全策略的情况。可以通过其他安全措施(例如 SELinux)进一步防止这些违规行为。 audit能够在日志中记录的信息有: 时间的日期时间、类型和结果 主体和
linux 安全审计audit 系统审计 记录root操作
sonflower123的博客
06-08 3092
Linux auditctl 使用
Linux audit详解
热门推荐
whuzm08的专栏
02-14 3万+
什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs) syslog记录的信息有限,主要...
Linux审计系统软件auditd简介
最新发布
地球空间
09-11 415
Linux审计系统软件auditd是一个强大的工具,用于监控和记录安全相关的信息。它最初是基于Linux 2.6.11.12版本内核开发的,主要的审计机制代码位于和中[^4]。auditd可以记录系统调用和文件访问等事件,帮助系统管理员分析系统中发生的操作,以便于检测潜在的安全威胁。
linux audit
weixin_34301132的博客
03-20 133
linuxaudit 服務(转载) Linuxaudit (in Redhat, Suse) 服務是什麼?以前我也不會去注意,直到有一天系統 crash,不知道為什麼,打開 Monitor,只出現一堆這樣的訊息: audit: audit_backlog=326 > audit_backlog_limit=320 audit...
Linux系统audit
bingshanzhu的专栏
04-29 1919
Linux 提供了用来记录系统安全信息的审计系统,使用 audit 系统可以在应用程序执行期间获取比如发生错误的时间,哪个文件导致错误以及原因,什么进程导致了错误等等信息。 用户空间审计系统 Linux内核拥有包括记录系统调用和文件访问等的日志记录事件的能力,管理员可以检查这些日志,确定是否存在安全漏洞,比如多次失败的登录尝试,或者用户对系统文件不成功的访问等。 1、Linux 内核中的几种系统调...
Linux操作系统之安全审计功能-Audit
10-10
Linux操作系统在保障系统安全方面扮演着重要角色,而Audit系统则是Linux中用于实现安全审计的核心组件。本文将深入探讨Linux中的Audit功能,特别是在Kylin Linux Advanced Server release V10 (Tercel)环境下如何...
Linux audit 日志审计服务安装及使用
01-12
Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux audit 的安装和使用方法。 安装 Linux ...
linux audit 服务,Linux Ubuntu 14 Audit 系统审计服务
weixin_35995377的博客
05-07 1684
一、概述系统等保要求,必须做系统审计服务,审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件,这里直接使用第三方插件 Audit,不用系统自带的审计服务日志。(如需要使用系统操作命令审计,可参考文章:https://www.cnblogs.com/tchua/p/7813284.html)Audit 说明文档: https://people.redhat.com/sgrubb/au...
linux审计进程规则,linux audit审计(5)--audit规则配置
weixin_39552538的博客
04-29 1444
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
linux审计工具audit,Linux audit 审计工具
weixin_39553805的博客
05-03 210
centos 系统 audit 默认是安装的查看状态:[root@ecs-proxy ~]# service auditd status[root@ecs-proxy ~]# auditctl -s查看规则:[root@ecs-proxy ~]# auditctl -l删除规则:[root@ecs-proxy ~]# auditctl -D查看帮助:[root@ecs-proxy ~]# audi...
GNU/Linux audit英文文档
04-13
此文档是由SUSE编写的关于GNU/Linux audit的英文文档。audit的入门级必看资料。
linux audit(安全审计功能)
underzerotem的博客
05-07 1293
今天系统中遇到rc.local被人删除掉的问题,从同事那里得知一工具可以监控文件被删除或修改是被谁和哪条指令修改的,就是audit,总结了一下,尤其是注意事项,希望后续可以省掉一些问题定位时间。 Linux安全审计功能 audit详解 动机 我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,...
linux审计工具audit,Linux audit安全审计工具
weixin_39707612的博客
05-03 828
/*********************************************************************** Linux audit安全审计工具* 说明:* 今天接触到安全审计,查看一下,发现内核有支持安全审计方面的东西。** 2018-4-23 深圳 宝安西乡 ...
linux审计功能(audit
weixin_71792169的博客
09-26 3840
PART ONE 为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs) syslog会记录系统状态(硬件警告、
linux 审计--audit
changexhao的专栏
10-15 1562
一.audit介绍 auditlinux系统中用于记录用户底层调用情况的系统,如记录用户执行的open,exit等系统调用. 并会将记录写到日志文件中. audit可以通过使用auditctl命令来添加或删除audit规则.设置针对某个用户进行记录,或针对某个 进程的进行记录. audit主要包含2个命令: auditd       audit服务进程 auditctl     au
linuxaudit服务,linux下的audit服务
weixin_34227128的博客
05-06 2744
audit [‘??d?t] 审计auditd是linux的一个审计服务。这是man下的解释auditd is the userspace component to the Linux Auditing System. It’sresponsible for writing audit records to the disk. Viewing the logs isdone with ...
Linux系统添加操作审计
chuangu7098的博客
11-07 250
有时候我们需要对线上用户操作记录进行历史记录待出现问题追究责任人,,但Linux系统自带的history命令用户有自行删除权限,那怎么设置可以让用户的操作记录实时记录,并保证普通用户无权删除呢? vi /etc/profile 在最后添加下面的代码 if [ ! -d /usr/lo...
linux audit 命令审计,Linux audit 审计工具
weixin_33447647的博客
05-01 417
centos 系统 audit 默认是安装的查看状态:[root@ecs-proxy ~]# service auditd status[root@ecs-proxy ~]# auditctl -s查看规则:[root@ecs-proxy ~]# auditctl -l删除规则:[root@ecs-proxy ~]# auditctl -D查看帮助:[root@ecs-proxy ~]# audi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值