audit审计

最新推荐文章于 2024-05-13 10:20:14 发布
最新推荐文章于 2024-05-13 10:20:14 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: xing
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qgw5205220/article/details/97812150
版权

什么是审计

     --基于事先配置的规则生成日志,记录可能发生在系统上的事件

     --审计不会为系统提供额外的安全保护,但她会发现并巨鹿违反安全策略的人及其对应的行为

     --审计能够记录的日志内容

              --日期与事件、事件结果

              --触发事件的用户

              --所有认证机制的使用都可以被记录,如ssh等

              --对关键数据文件的修改行为等

审计的案例

       监控文件访问

       监控系统调用

       记录用户运行的命令

       审计可以监控网络访问行为

       ausearch工具,可以根据条件过滤审计日志

       aureport工具,可以生成审计报告

 

 

 

audit 

部署audit

使用审计系统需要安装audit软件包

主配置文件为/etc/audit/auditd.conf

 

]#yum -y install audit

]#cat /etc/audit/auditd.conf log_file = /var/log/audit/auditd.conf ##日志文件

]#systemctl start aditd ]#systemctl enable auditd

 

配置审计

auditctl命令

 

auditctl命令控制审计系统并设置规则决定那些行为会被记录日志

]# auditctl -s ##查询状态

]# auditctl -l ##查看规则

]# auditctl -D ##删除所有规则

定义临时规则

定义文件系统规则:

---auditctl -w path -p permission -k key_name

--path为需要审计的文件或目录

--权限可以是r,w,x,a(文件或目录的属性发生变化)

--_Key_name为可选项,方便识别那些规则生成特定的日志项

]# auditctl -w /etc/passwd -p wa -k passwd_change ##设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志

]# auditctl -l -w /etc/passwd -p wa -k passwd_change

]# auditctl -w /etc/selinux/ -p wa -k selinux_change ##设置规则,监控/etc/selinux目录

]# auditctl -w /usr/sbin/fdisk -p x -k disk_partition ##设置规则,监控fdisk程序

]# auditctl -l

-w /etc/passwd -p wa -k passwd_change

-w /etc/selinux -p wa -k selinux_change -

w /usr/sbin/fdisk -p x -k disk_partition

 

定义永久规则

写如配置文件/etc/audit/rules.d/audit.rules

]# vim /etc/audit/rules.d/audit.rules

-w /etc/passwd -p wa -k passwd_change

-w /etc/selinux -p wa -k selinux_change

-w /usr/sbin/fdisk -p x -k disk_partition

系统提供的ausearch命令可以方便的搜索特定日志

--默认该程序会搜索/var/log/andit/audit.log

--ausearch options -if file_name可以制定文件

 

查看日志

       定义规则

           ]# auditctl  -w /etc/ssh/sshd_config   -p  warx  -k   sshd_config

查看日志

  1. ~]# tailf /var/log/audit/audit.log
  2. type=SYSCALL msg=audit(1517557590.644:229228): arch=c000003e
  3. syscall=2 success=yes exit=3
  4. a0=7fff71721839 a1=0 a2=1fffffffffff0000 a3=7fff717204c0
  5. items=1 ppid=7654 pid=7808 auid=0 uid=0 gid=0 euid=0 suid=0
  6. fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="cat"
  7. exe="/usr/bin/cat"
  8. subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"
  9. .. ..
  10. #内容分析
  11. # type为类型
  12. # msg为(time_stamp:ID),时间是date +%s(1970-1-1至今的秒数)
  13. # arch=c000003e,代表x86_64(16进制)
  14. # success=yes/no,事件是否成功
  15. # a0-a3是程序调用时前4个参数,16进制编码了
  16. # ppid父进程ID,如bash,pid进程ID,如cat命令
  17. # auid是审核用户的id,su - test, 依然可以追踪su前的账户
  18. # uid,gid用户与组
  19. # tty:从哪个终端执行的命令
  20. # comm="cat"         用户在命令行执行的指令
  21. # exe="/bin/cat"        实际程序的路径
  22. # key="sshd_config"    管理员定义的策略关键字key
  23. # type=CWD        用来记录当前工作目录
  24. # cwd="/home/username"
  25. # type=PATH
  26. # ouid(owner's user id)    对象所有者id
  27. # guid(owner's groupid)    对象所有者id

 

搜索日志

系统提供的ausearch命令可以方便的搜索特定日志

--默认该程序会搜索/var/log/andit/audit.log

--ausearch options -if file_name可以制定文件名

]# ausearch -k disk

type=EXECVE msg=audit(1564451144.821:10): argc=2 a0="fdisk" a1="/dev/vda"

type=SYSCALL msg=audit(1564451144.821:10): arch=c000003e syscall=59 success=yes exit=0 a0=1520ce0 a1=14b3e30 a2=152d5d0 a3=7ffe16234ae0 items=2 ppid=850 pid=1121 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="fdisk" exe="/usr/sbin/fdisk" key="disk_partition"

]#ausearch -k passwd_change

type=CWD msg=audit(1564451750.676:15): cwd="/root"

type=SYSCALL msg=audit(1564451750.676:15): arch=c000003e syscall=82 success=yes exit=0 a0=7ffe5e042790 a1=564995031ce0 a2=7ffe5e042700 a3=564996be09a0 items=5 ppid=850 pid=1144 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="useradd" exe="/usr/sbin/useradd" key="passwd_change"

 

]# aureport ##查看统计信息

Summary Report

======================

Range of time in logs: 2019年07月30日 09:21:45.716 - 2019年07月30日 09:55:50.676

Selected time for report: 2019年07月30日 09:21:45 - 2019年07月30日 09:55:50.676

Number of changes in configuration: 6

Number of changes to accounts, groups, or roles: 3

系统提供的ausearch命令可以方便的搜索特定日志

--默认该程序会搜索/var/log/andit/audit.log

--ausearch options -if file_name可以制定文件

Number of logins: 0 Number of failed logins: 0

Number of authentications: 0

Number of failed authentications: 0

Number of users: 2 Number of terminals: 3

Number of host names: 2

Number of executables: 3

Number of commands: 3

Number of files: 5

Number of AVC's: 0

Number of MAC events: 0

Number of failed syscalls: 0

Number of anomaly events: 0

Number of responses to anomaly events: 0

Number of crypto events: 0

Number of integrity events: 0

Number of virt events: 0

Number of keys: 3

Number of process IDs: 4

Number of events: 14

 

 

 

秋yun
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssh-audit:SSH服务器审核(横幅,密钥交换,加密,mac,压缩,兼容性,安全性等)
02-21
SSH审核 ssh-audit是用于ssh服务器审核的工具。 特征 SSH1和SSH2协议服务器支持; 抓住标语,识别设备或软件和操作系统,检测压缩; 收集密钥交换,主机密钥,加密和消息认证代码算法; 输出算法信息(自此可用,已删除/已禁用,不安全/弱/旧版等); 输出算法建议(根据公认的软件版本追加或删除); 输出安全信息(相关问题,分配的CVE列表等); 根据算法信息分析SSH版本兼容性; 来自OpenSSH,Dropbear SSH和libssh的历史信息; 无依赖性,与Python 2.6 +,Python 3.x和PyPy兼容; 用法 usage: ssh-audit.py [-1246pbnvl] <host> -1, --ssh1 force ssh version 1 only -2, --ssh2
oracle numa map size mismatch,[已解决]执行lspci命令后命令行没有给出任何信息,然后过一会就自动关机了...
weixin_35758982的博客
04-03 1890
执行 journalctl -b -1 _TRANSPORT=kernel -n 1000 ,发现了几条错误信息ENERGY_PERF_BIAS: Set to 'normal', was 'performance'resource sanity check: requesting [mem 0xfdffe800-0xfe0007ff], which spans more than pnp 00...
【安全】linux audit审计使用入门
2401_84972814的博客
05-13 1082
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
linux开机停在B7,[已解决] 开机时偶然地出现 “Timed out waiting for device /dev/sdb...” 并且导致启动失败...
weixin_33219360的博客
05-16 6976
问题重现了,目前可以确认和 LVM 服务无关,所有 LVM 相关服务皆已 masked,问题原因仍然不明。附上本次启动失败的完整日志:11月 27 19:00:19 M kernel: Linux version 5.3.7-arch1-1-ARCH (builduser@heftig-2611250) (gcc version 9.2.0 (GCC)) #1 SMP PREEMPT Fri Oc...
auditctl (转)
weixin_33834628的博客
06-28 697
一.audit介绍 audit是linux系统中用于记录用户底层调用情况的系统,如记录用户执行的open,exit等系统调用.并会将记录写到日志文件中.audit可以通过使用auditctl命令来添加或删除audit规则.设置针对某个用户进行记录,或针对某个进程的进行记录. audit主要包含2个命令: auditd audit服务进程auditctl ...
drm debug log with drm.debug=6 debug
佛系程序员
12-22 3360
t:s0 msg='unit=kmod-static-nodes comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success' [ 14.717497] systemd[719]: Operating on architecture: x86-64 [ 14.719652] a...
【操作系统】安全审计-audit
Sanayeah的博客
11-16 3735
audit是Linux内核提供的一种审计机制,由于audit是内核提供的,因此,在使用audit的过程中就包含内核空间和用户空间部分auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志通常的使用流程用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。
audit审计系统
08-17
在本文中,我们将深入探讨"audit审计系统"的相关知识点,包括其定义、功能、工作原理、实施步骤及最佳实践。 审计系统是一种用于跟踪和记录组织中电子数据处理活动的技术。它可以覆盖操作系统、数据库、网络设备、...
Oracle Audit 审计
07-01
Oracle Audit 审计是Oracle数据库管理系统中的一种安全特性,它允许管理员监控并记录数据库用户的活动,以便追踪潜在的安全问题或合规性需求。审计可以记录多种操作,包括数据查询、更新、删除以及系统权限的使用等...
mysql8.0安装server-audit审计
最新发布
07-26
mysql8.0安装server-audit审计
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
审计计划Audit planning.pdf
09-23
"审计计划Audit planning.pdf" 文件中详细探讨了与欺诈相关的各种概念、类型以及审计人员的责任。以下是根据文件内容提炼出的一些关键知识点: 1. 欺诈定义:欺诈是指一个或多个个人通过欺骗手段获取不公平或非法...
audit系统审计
行走的皮卡丘
10-13 3128
什么是审计审计的案例audit审计系统安装软件包,查看配置文件(确定审计日志的位置)配置审计规则查看并分析日志手动查看日志通过工具搜索日志。
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
【无标题】 audit: type=1701 audit(1644460994.773:14): auid=4294967295问题讨论
jiaquwl2017的博客
05-18 2208
@[TOC audit: type=1701 audit(1644460994.773:14): auid=4294967295问题讨论] 问题描述 在调试NXP开发板的过程中,使用Filezilla将qt写好的程序上传到开发板中,在运行的时候总是弹出如下问题: root@OK8MP:/mnt/thirdpart/libskin/lib# QT_Demo [ 3193.209256] audit: type=1701 audit(1644460994.773:14): auid=4294967295 uid
Linux使用audit审计用户执行命令
Blue summer的博客
12-19 9578
注:本文基于CentOS 6.5编写
linux命令--dmesg
ZYandZK0717的博客
03-29 1844
‘dmesg’命令多用于诊断设备故障 语法: dmesg [options...] 选项说明: -c#显示信息后,清除ringbuffer中的内容 -s<缓冲区大小>#默认值为8196,刚好等于ringbuffer的大小 -n#设置记录信息的层级 -D#禁用打印消息到控制台 -E#启用打印消息到控制台 -h#打印帮助文本并退出 -k#打印内核消息 -n#设置将消息记录到控制台的级别 -r#打印原始消息缓冲区 -s#使用多少大小的缓冲区来查询内核...
SSH安全审计Tool - ssh-audit
奋斗中拥有
12-18 2049
SSH安全审计Tool - ssh-audit InstallAuditReference ssh-audit 工具支持SSH1和SSH2协议,通过扫描服务器上SSH服务,可以收集SSH连接各个阶段所使用的算法,并对这些算法进行分析,提示现有算法和服务版本所关联的漏洞信息,并提供加强的算法推荐设置。 Install fedora 31 or RHEL/CentOS 8可直接通过 pip inst...
audit.rules配置审计规则
11-24
audit.rules是Linux系统中用来配置审计规则的文件。审计规则用于定义需要被系统审计的操作和事件,以便跟踪和监控系统的安全性。 在audit.rules中,可以设置诸如文件访问、用户登录、系统调用、进程创建等各种类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值