linux系统之audit审计

最新推荐文章于 2024-07-25 14:24:00 发布
最新推荐文章于 2024-07-25 14:24:00 发布
阅读量854 收藏 4
点赞数 2
分类专栏: 运维笔记 文章标签: linux audit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuxe1990/article/details/89465579
版权

什么是审计
在这里插入图片描述
审计案例
在这里插入图片描述
部署audit

[root@sheji57 ~]# yum -y install audit
[root@sheji57 ~]# systemctl start auditd
[root@sheji57 ~]# systemctl enable auditd

定义临时规则
在这里插入图片描述

[root@sheji57 ~]# auditctl -w /etc/passwd -p wa -k passwd_abc
[root@sheji57 ~]# auditctl -w /etc/selinux/ -p wa -k selinux_bcd
[root@sheji57 ~]# auditctl -w /usr/sbin/fdisk -p x -k fdisk_efd
[root@sheji57 ~]# auditctl -l
-w /etc/passwd -p wa -k passwd_abc
-w /etc/selinux -p wa -k selinux_bcd
-w /usr/sbin/fdisk -p x -k fdisk_efd

定义永久规则
将规则写入配置文件/etc/audit/rules.d/audit.rules

[root@sheji57 ~]# ls /var/log/audit/audit.log		//查看audit日志文件
[root@sheji57 ~]# vim /etc/audit/rules.d/audit.rules 
末尾追加:
-w /etc/passwd -p wa -k passwd_abc
-w /etc/selinux -p wa -k selinux_bcd
-w /usr/sbin/fdisk -p x -k fdisk_efd
[root@sheji57 ~]# ausearch -k passwd_abc		//查看规则项passwd_abc记录日志

查看日志
在这里插入图片描述
在这里插入图片描述

刘鑫的博客
关注
专栏目录
Linux操作系统之安全审计功能-Audit
10-10
Linux操作系统在保障系统安全方面扮演着重要角色,而Audit系统则是Linux中用于实现安全审计的核心组件。本文将深入探讨Linux中的Audit功能,特别是在Kylin Linux Advanced Server release V10 (Tercel)环境下如何...
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
audit详细使用配置
张无忌
05-09 3638
Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。
audit审计超详细介绍,常见审计规则示例,与syslog、secure对比
最新发布
ayychiguoguo的博客
07-25 1452
Audit审计)在Linux系统中,特别是CentOS中,是一个用于监控和记录系统上各种操作的技术手段。Audit的主要功能是为系统管理员提供一个跟踪系统上与安全相关信息的方法。根据预配置的规则,Audit会生成日志条目,以尽可能多地记录系统上所发生的事件的相关信息。① Audit主要由以下几个部分组成:auditd:Audit守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。
linux 安全审计audit 系统审计 记录root操作
sonflower123的博客
06-08 3064
Linux auditctl 使用
Linux:安全审计功能的实现——audit详解
hhd1988的专栏
07-15 4818
安全审计功能的实现——audit详解
linux开启安全审计功能,Linux操作系统之安全审计功能
weixin_28932089的博客
05-15 1万+
内核编译时,一般打开NET选项就打开AUDIT选项了。在系统中查看audit是否打开,root 用户执行:service auditd status我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员工的操作行为就需要开启审计功能,也就是auditd。1、首先执行以下命令开...
Linux audit 日志审计服务安装及使用
01-12
Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux audit 的安装和使用方法。 安装 Linux ...
audit-userspace:Linux审计用户空间存储库
02-05
在深入探讨"audit-userspace:Linux审计用户空间存储库"之前,我们首先需要理解Linux审计系统的基础知识。Linux审计系统是一个强大的工具,用于记录系统活动,它提供了一种机制来跟踪和记录系统中的关键事件,包括...
linux安全审计扫描工具-Lynis
08-15
Linux安全审计扫描工具Lynis是一款强大的开源工具,主要用于评估和增强Linux系统的安全性。它适合于开发者、系统管理员、审计管理员以及渗透测试人员使用,帮助他们进行合规性测试、系统安全评估以及防御加固。Lynis...
03: 系统审计 服务安全 Linux安全之打补丁.docx
07-15
系统审计服务安全】在Linux系统中,确保安全的一个重要环节是进行系统审计,以便及时发现和记录潜在的安全威胁。审计服务能够跟踪和记录系统中的关键活动,包括文件的修改、用户登录、权限变更等,从而帮助管理员...
SELinux auditd日志系统
haohaoxuexiyai的博客
02-21 1809
目录SELinux auditd日志系统的安装与启动SELinux auditd日志使用方法audit2why命令audit2allow命令sealert命令 SELinux auditd日志系统的安装与启动 当查看特定安全上下文的策略规则时,SELinux 会使用被称为 AVC(Access Vector Cache,访问矢量缓存)的缓存,如果访问被拒绝(也被称为 AVC 拒绝),则会在一个日志文件中记录下拒绝消息。 这些被拒绝的消息可以帮助诊断和解决常规的 SELinux 策略违规行为,至于这些拒绝消息
【操作系统】安全审计-audit
Sanayeah的博客
11-16 4057
auditLinux内核提供的一种审计机制,由于audit是内核提供的,因此,在使用audit的过程中就包含内核空间和用户空间部分auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志通常的使用流程用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。
【安全】linux audit审计使用入门
追寻梦想的青春
10-11 4816
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
audit系统审计
行走的皮卡丘
10-13 3158
什么是审计审计的案例audit审计系统安装软件包,查看配置文件(确定审计日志的位置)配置审计规则查看并分析日志手动查看日志通过工具搜索日志。
Android 使用 audit2allow 工具添加SELinux权限
weixin_44021334的博客
02-17 6073
开发应用报错,提示 avc: denied { write } for comm="com.test" name="/" dev="dm-5" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_root_file:s0 tclass=dir permissive=0 那就是缺少 SELinux 权限,那就加上。 在 Android aosp 源码上,需要先执行过 source build/envsetup 、lunch 命令,
53命令使用_SELinux auditd日志使用方法详解
weixin_30458701的博客
01-05 462
auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。这个文件中记录的信息会非常多,如果手工查看,则效率将非常低下。比如笔者的 Linux 中这个日志的大小就有 386KB。[root@localhost ~]# ll -h /var/log/audit/audit.log-rw-------.1 root root 386K 6月...
Linux审计audit工具的用法,配置审计过程与阅读审计内容
ck784101777的博客
02-03 3503
一、Linux审计功能 1.什么是审计 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。 2.审计能够记录到日志的内容 -事件发生的日期和结果,触发事件的用户 -远程连接记录,如访问ssh,ftp -对标记目录或文件的修改行为 -监控调用的系统资源 -记...
Linux 用户空间审计工具 audit
Vic的博客
05-21 1万+
前言Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。Linux 用户空间审计系统简介Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值