【操作系统】安全审计-audit_linux audit,Linux运维基础面试常常死在这几个问题上

于 2024-04-06 14:36:53 发布
阅读量344 收藏 8
点赞数 3
分类专栏: 2024年程序员学习 文章标签: 运维 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60707685/article/details/137428260
版权

在这里插入图片描述
审计日志-字段分析

  • type:audit消息类型,消息类型有100多种(具体查看请点击:audit消息类型
    比较常见有SYSCALL:代表这条记录是向内核的系统调用触发产生的.
  • msg:消息的ID, 它有两个部分组成, 分号之前的是Unix的时间戳,分号之后的是真正的event ID(同一个应用程序的相同system call拥有相同的event ID, 同一个应用的不同system call则不同。)
  • arch: 调用system call的CPU构架
  • syscall:system call的类型(可使用ausyscall --dump来显示所有的系统调用)
  • success:system call是成功或者失败
  • comm: 出现在任务列表中,应用程序的名称。
  • exe: 二进制程序的解析路径。
  • ses: 用户登录的session ID.
  • auid: audit ID, 针对某一用户,一个进程会被分配一个audit ID, 该audit ID会被传递给子进程,尽管在系统中用户切换,该audit ID将始终保持一致。 这样我们可以针对对某一用户进行trace。
  • a0 to a3: 系统调用的前四个参数的数字化,可以通过ausearch解码查看
  • items: 传递到应用程序的字符串数量
  • ppid:父进程的PID
  • pid:该进程的PID
  • uid: user ID。
  • gid: group ID。
  • euid, suid, fsuid: Effective user ID, set user ID, and file system user ID.
  • egid, sgid, fsgid: Effective group ID, set group ID, and file system group ID.
  • tty: 应用程序开启的终端,这种情况下pseudo-terminal used in an SSH session.

附录1:auditctl -h

[auditadm@localhost ~]$ auditctl -h
usage: auditctl [options]
    -a <l,a>                          Append rule to end of <l>ist with <a>ction
    -A <l,a>                          Add rule at beginning of <l>ist with <a>ction
    -b <backlog>                      Set max number of outstanding audit buffers
                                      allowed Default=64
    -c                                Continue through errors in rules
    -C f=f                            Compare collected fields if available:
                                      Field name, operator(=,!=), field name
    -d <l,a>                          Delete rule from <l>ist with <a>ction
                                      l=task,exit,user,exclude
                                      a=never,always
    -D                                Delete all rules and watches
    -e [0..2]                         Set enabled flag
    -f [0..2]                         Set failure flag
                                      0=silent 1=printk 2=panic
    -F f=v                            Build rule: field name, operator(=,!=,<,>,<=,
                                      >=,&,&=) value
    -h                                Help
    -i                                Ignore errors when reading rules from file
    -k <key>                          Set filter key on audit rule
    -l                                List rules
    -m text                           Send a user-space message
    -p [r|w|x|a]                      Set permissions filter on watch
                                      r=read, w=write, x=execute, a=attribute
    -q <mount,subtree>                make subtree part of mount point's dir watches
    -r <rate>                         Set limit in messages/sec (0=none)
    -R <file>                         read rules from file
    -s                                Report status
    -S syscall                        Build rule: syscall name or number
    --signal <signal>                 Send the specified signal to the daemon    -t                                Trim directory watches
    -v                                Version
    -w <path>                         Insert watch at <path>
    -W <path>                         Remove watch at <path>
    --loginuid-immutable              Make loginuids unchangeable once set
    --backlog\_wait\_time               Set the kernel backlog_wait_time
    --reset-lost                      Reset the lost record counter

附录2:systemcall 类型

网上查询的,好多说是看这个文件https://github.com/torvalds/linux/blob/master/arch/sh/include/asm/unistd.h

# 不同系统间存在差距
# 下文只做简单举例,编号代表 类型值 
$ ausyscall --dump
Using aarch64 syscall table:
0	io_setup
1	io_destroy
2	io_submit
3	io_cancel
4	io_getevents
5	setxattr
6	lsetxattr
7	fsetxattr
8	getxattr
9	lgetxattr
10	fgetxattr
11	listxattr
12	llistxattr
13	flistxattr
14	removexattr
15	lremovexattr
16	fremovexattr
17	getcwd
18	lookup_dcookie
19	eventfd2
20	epoll_create1
21	epoll_ctl
22	epoll_pwait
23	dup
24	dup3
25	fcntl
26	inotify_init1
27	inotify_add_watch
28	inotify_rm_watch
29	ioctl
30	ioprio_set
31	ioprio_get
32	flock
33	mknodat
34	mkdirat
35	unlinkat
36	symlinkat
37	linkat
38	renameat
39	umount2
40	mount
41	pivot_root
42	nfsservctl
43	statfs
44	fstatfs
45	truncate
46	ftruncate
47	fallocate
48	faccessat
49	chdir
50	fchdir
51	chroot
52	fchmod
53	fchmodat
54	fchownat
55	fchown
56	openat
57	close
58	vhangup
59	pipe2
60	quotactl
61	getdents
62	lseek
63	read
64	write
65	readv
66	writev
67	pread
68	pwrite
69	preadv
70	pwritev
71	sendfile
72	pselect6
73	ppoll
74	signalfd4
75	vmsplice
76	splice
77	tee
78	readlinkat
79	newfstatat
80	newfstat
81	sync
82	fsync
83	fdatasync
84	sync_file_range
85	timerfd_create
86	timerfd_settime
87	timerfd_gettime
88	utimensat
89	acct
90	capget
91	capset
92	personality
93	exit
94	exit_group
95	waitid
96	set_tid_address
97	unshare
98	futex
99	set_robust_list
100	get_robust_list
101	nanosleep
102	getitimer
103	setitimer
104	kexec_load
105	init_module
106	delete_module
107	timer_create
108	timer_gettime
109	timer_getoverrun
110	timer_settime
111	timer_delete
112	clock_settime
113	clock_gettime
114	clock_getres
115	clock_nanosleep
116	syslog
117	ptrace
118	sched_setparam
119	sched_setscheduler
120	sched_getscheduler
121	sched_getparam
122	sched_setaffinity
123	sched_getaffinity
124	sched_yield
125	sched_get_priority_max
126	sched_get_priority_min
127	sched_rr_get_interval
128	restart_syscall
129	kill
130	tkill
131	tgkill
132	sigaltstack
133	rt_sigsuspend
134	rt_sigaction
135	rt_sigprocmask
136	rt_sigpending
137	rt_sigtimedwait
138	rt_sigqueueinfo
139	rt_sigreturn
140	setpriority
141	getpriority
142	reboot
143	setregid
144	setgid
145	setreuid
146	setuid
147	setresuid
148	getresuid
149	setresgid
150	getresgid
151	setfsuid
152	setfsgid
153	times
154	setpgid
155	getpgid
156	getsid
157	setsid
158	getgroups
159	setgroups
160	uname
161	sethostname
162	setdomainname
163	getrlimit
164	setrlimit
165	getrusage
166	umask
167	prctl
168	getcpu
169	gettimeofday
170	settimeofday
171	adjtimex
172	getpid
173	getppid
174	getuid
175	geteuid
176	getgid
177	getegid
178	gettid
179	sysinfo
180	mq_open
181	mq_unlink
182	mq_timedsend
183	mq_timedreceive
184	mq_notify
185	mq_getsetattr
186	msgget
187	msgctl
188	msgrcv
189	msgsnd
190	semget
191	semctl
192	semtimedop
193	semop
194	shmget
195	shmctl
196	shmat
197	shmdt
198	socket
199	socketpair
200	bind
201	listen
202	accept
203	connect
204	getsockname
205	getpeername
206	sendto
207	recvfrom
208	setsockopt
209	getsockopt
210	shutdown
211	sendmsg
212	recvmsg
213	readahead
214	brk
215	munmap


**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数Linux运维工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年Linux运维全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。**
![img](https://img-blog.csdnimg.cn/img_convert/3ba66c604b2d69fa7ce28e48319564e5.png)
![img](https://img-blog.csdnimg.cn/img_convert/c1fd8f6310cbf5f2a0dda9b81867b302.png)
![img](https://img-blog.csdnimg.cn/img_convert/38e013fce9eb92dce993b044c7d6e57e.png)
![img](https://img-blog.csdnimg.cn/img_convert/0c813a24cfd10f2c86413600ceefc81f.png)
![img](https://img-blog.csdnimg.cn/img_convert/104d385639c5a40bbb464a56a5048589.png)

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Linux运维知识点,真正体系化!**

**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**

**如果你觉得这些内容对你有帮助,可以添加VX:vip1024b (备注Linux运维获取)**
![img](https://img-blog.csdnimg.cn/img_convert/ff9780eb972e8deb82dbf1083095131a.jpeg)



### 最后的话

最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!

### 资料预览

给大家整理的视频资料:

![](https://img-blog.csdnimg.cn/img_convert/f44635787d85a61b535d6cff36eccd30.png)

给大家整理的电子书资料:

  

![](https://img-blog.csdnimg.cn/img_convert/4ee9c4f7ad82601e45f230eaff18b62f.png)



**如果本文对你有帮助,欢迎点赞、收藏、转发给朋友,让我有持续创作的动力!**


[**一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!**](https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0)

**AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**

让我有持续创作的动力!**


[**一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!**](https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0)

**AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**
m0_60707685
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ubuntu1604环境下mariadb启动卡住报错和apparmor基本使用
久伴你逍遥风的博客
12-14 1589
问题描述:Ubuntu 1604 新环境下使用apt安装的mariadb10版本,结果第二天就起不来了,启动时会卡住,很是郁闷 启动mariadb服务 启动失败,先查看一下状态 肯定也是不正常的,看一下有没有什么错误输出信息 然后再使用这个查看详细一点的报错 journalctl -xe 当时就只顾着找error关键字,没在意其他的,后来才注意到这个apparmor=...
linux系统入侵检测
段帅星的博客
09-01 618
linux系统入侵检测 一:系统日志分析 1、/var/log/secure查看登陆事件 1> 查看登陆失败事件 # grep -i Failed /var/log/secure 2> 查看登陆成功事件 # grep -i Accepted /var/log/secure 3> 查看sshd服务登陆事件 # grep -i sshd /var/log/secure 4>
linux 0755,linux audit审计(7-1)--读懂audit日志
weixin_39931146的博客
05-25 236
auid=0auid记录Audit user ID,that is the loginuid。当我使用lbh用户登录系统时,再访问audit_test,此时记录的auid为1001,具体日志如下:type=SYSCALL msg=audit(1523513135.147:4172990525): arch=c000003e syscall=257 success=yes exit=3 a0=fff...
linux内核audit,用Audit执行Linux系统和安全审计
weixin_35982453的博客
04-29 538
Linux Audit守护进程是一个可以审计Linux系统事件的框架。在本文中,我们一起看看安装、配置和使用这个框架来执行Linux系统和安全审计审计目标通过使用一个强大的审计框架,系统可以追踪很多事件类型来监控和并审计它。这样的例子包括:审计文件访问和修改看看谁改变了一个特殊文件检测未授权的改变监控系统调用和函数检测异常,比如崩溃的进程为入侵检测目的设置“导火线”记录各个用户使用的命令组件这个...
Linuxaudit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64
04-09
这个名为 "audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64" 的压缩包包含了一个针对 MySQL 5.7 版本的审计解决方案,特别设计用来记录和分析数据库的各种操作,如查询、登录尝试、权限变更等。 审计插件的主要...
Linux操作系统安全审计功能-Audit
10-10
Linux操作系统在保障系统安全方面扮演着重要角色,而Audit系统则是Linux中用于实现安全审计的核心组件。本文将深入探讨Linux中的Audit功能,特别是在Kylin Linux Advanced Server release V10 (Tercel)环境下如何...
audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64.zip
04-25
"audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64.zip" 文件是一个针对Linux 64位系统的特定版本审计插件,适用于MySQL 5.7版本。 审计插件的主要功能包括: 1. **活动记录**:审计插件能够详细记录所有SQL语句,...
audit-plugin-mysql-5.7-1.1.4-725-linux-x86_64.zip
09-13
"audit-plugin-mysql-5.7-1.1.4-725-linux-x86_64.zip"这个压缩包文件包含了针对MySQL 5.7版本的审计插件,版本号为1.1.4-725,适用于Linux操作系统,且是64位架构。在本篇中,我们将深入探讨MySQL审计插件的安装、...
audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64
05-01
本文将深入探讨名为"audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64"的MySQL审计插件在Linux系统上的安装、配置和使用。 1. **插件介绍** "audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64"是专为MySQL 5.7版本...
linux audit审计(7)--读懂audit日志
最新发布
qq_43368574的博客
01-19 461
linux audit审计(7)–读懂audit日志
Linux-Audit审计解析
qq_38135115的博客
02-20 4534
前言 Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。 Linux 用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访...
操作系统安全审计-audit
Sanayeah的博客
11-16 3489
auditLinux内核提供的一种审计机制,由于audit是内核提供的,因此,在使用audit的过程中就包含内核空间和用户空间部分auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志通常的使用流程用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。
安全linux audit审计使用入门
追寻梦想的青春
10-11 4341
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
linux审计功能
lishenglong666的专栏
12-16 3693
linux审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
Linux安全审计功能的实现——audit详解
u012759006的博客
04-29 1万+
1、安装: centos默认安装,Ubuntu:sudo apt-get install auditd 2、开启auditd服务: service auditd start 3、查看当前auditd服务状态: service auditd status auditctl -s 4、重启auditd服务: service auditd restart 或 service audi...
auditd日志分析方法
weixin_38637595的博客
05-22 2852
auditd是监听目录下的文件操作 你可以通过auditd配置你要监听的目录,之后对这个目录下的操作会记录到autitd的日志中 这里先不讲如何去配置auditd,这里讲如何去分析auditd日志 auditd原理简介 首先我们创建文件也好,删除文件也好,都是由进程帮我们去执行的 linux内核提供接口,可以查询进程对文件的操作 autitd记录的就是文件操作时涉及到的数据记录下来 所以只要分析日志就可以判断出是谁对哪个文件进行了什么操作 本文只分享分析方法,这里就讲得粗糙些 怎么去分析 这
Linux-安全审计-auditd.log解读
qq_38135115的博客
02-24 1760
succeed=yes/no,说明此次syscall成功或失败 exit=-13说明syscall的返回值是-13 a0,a1,a2,a3指明了前4个参数,也是编码成16进制,通过ausearch命令可以解码查看 items指出event中的path记录的数量 ppid指明Parent Process ID,即父进程ID pid指明了进程ID auid指出audit user ID,即当时的登陆uid uid指出了对应进程的所有者ID gid对应进程的group ID euid对应进程的effective.
03: 系统审计 服务安全 Linux安全之打补丁.docx
07-15
系统审计 服务安全 Linux安全之打补丁

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值