audit详细使用配置

已于 2023-05-09 15:23:59 修改
阅读量3.4k 收藏 14
点赞数 1
文章标签: 服务器 linux 运维
于 2023-05-09 15:21:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39586877/article/details/130580625
版权

audit是什么

Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施

audit使用

auditctl -l

查看所有审计规则

auditctl -D

删除所有审计规则

service auditd start

启动服务

service auditd restart

服务重启

augenrules --load

重载配置信息

service auditd status

查看服务状态

/etc/audit/auditd.conf

应用的配置信息

/etc/audit/rules.d/audit.rules

添加规则的文件

/var/log/audit

日志所在目录

添加审计规则

了解 audit 审计规则
audit 审计规则分成三个部分:

控制规则:这些规则用于更改审计系统本身的配置和设置。
文件系统规则:这些是文件或目录监视。 使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。
系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。
控制规则
控制规则可以在/etc/audit/audit.rules 中设置。主要包括:

-D #删除所有当前装载的审核规则#

-b 8192 #在内核中设定最大数量的已存在的审核缓冲区为 8Mb#

-e 2 #锁定审核配置#

文件系统规则
可以通过 auditctl 命令设置。监控文件系统行为(依靠文件、目录的权限属性来识别)

规则格式:

-w 路径

-p 权限

-k 关键字

其中-p 权限的动作分为四种

r — 读取文件或者目录。

w — 写入文件或者目录。

x — 运行文件或者目录。

a — 改变在文件或者目录中的属性。

常用监视指令示例:

auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
-k 给当前这条监控规则起个名字,方便搜索过滤
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

查看监视日志ausearch使用

ausearch -f /路径
ausearch -i -k key – key是添加规则时加的关键词

Audit log

type: audit消息类型, 消息类型有100多种,可以查看https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/sec-audit_record_types
msg: 消息的ID, 它有两个部分组成, 分号之前的是Unix的时间戳,分号之后的是真正的event ID, 同一个应用程序的相同system call拥有相同的event ID, 同一个应用的不同system call则不同。
arch: 调用system call的CPU构架, 可以通过ausearch -i来指定搜索相关的log。
syscall: system call的类型, 可以查看https://github.com/torvalds/linux/blob/master/arch/sh/include/asm/unistd.h。
success: system call是成功或者失败。
exit: system call的返回值。
a0 to a3: 系统调用的前四个参数的数字化,可以通过ausearch解码查看。
items: 传递到应用程序的字符串数量。
ppid: 父进程的PID。
pid: 该进程的PID。
auid: audit ID, 针对某一用户一个进程会被分配一个audit ID, 该audit ID会被传递给子进程,尽管在系统中用户切换,该audit ID将始终保持一致。 这样我们可以针对对某一用户进行trace。
uid: user ID。
gid: group ID。
euid, suid, fsuid: Effective user ID, set user ID, and file system user ID.
egid, sgid, fsgid: Effective group ID, set group ID, and file system group ID.
tty: 应用程序开启的终端,这种情况下pseudo-terminal used in an SSH session.
ses: 用户登录的session ID.
comm: 出现在任务列表中,应用程序的名称。
exe: 二进制程序的解析路径。
subj: 进程执行时selinux上下文
key: 如果audit了很多的目录文件,分配一个key string方便后面我们通过ausearch去过滤这类log。
cwd: 进程的执行目录.
另一种audit log格式:
inode: 指出了与文件或目录相对应的inode number,可以通过下面的命令查看inode对应的文件或目录:find/ -inum -print.
dev: 指出文件或目录对应的device ID,在例子中,对应/dev/fd/0这个设备.
mode: 对应文件或目录的权限
ouid: 对应文件的owner’s user ID.
ogid: 对应文件的owner’s group ID

捣蛋鬼大师
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 系统管理和监控命令---- auditctl 命令
redrose2100的博客
12-28 1113
auditctlLinux 审计系统(audit system)的一部分,它允许管理员配置审计规则,以跟踪和记录系统活动。这些规则可以帮助你监控对特定文件的访问、追踪特定用户的活动或记录系统调用。以下是auditctl
Linux安全基线-审计配置9小项
bigwood99的博客
09-30 1638
监视sudo日志文件。如果系统已正确配置为禁用该su命令,并强制所有管理员必须先登录然后sudo才能执行特权命令,则所有管理员命令都将登录到/var/log/sudo.log。该文件/var/log/lastlog保留用户最后一次成功登录的记录。该文件/etc/sudoers被写入或其属性已更改为。该文件/var/run/utmp跟踪所有当前登录的用户。/var/log/wtmp文件跟踪登录,注销,关闭和重新启动事件。将以下行添加到/etc/audit/rules.d/audit.rules文件末尾。
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
【安全】linux audit审计使用入门
最新发布
qq_44005305的博客
06-01 848
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
Linux安全之auditd审计工具使用说明
Innocence_0的博客
02-27 3785
audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置使用auditctl实用程序完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外,还有一个augenrules程序,它读取/etc/audit/rules.d/中的规则,并将它们编译为audit.rules文件。
wincc Audit V7.4软件配置步骤.doc
04-20
本文将详细介绍如何在WinCC中配置audit功能,以便更好地使用audit功能。 一、Audit配置前的准备 在配置Audit功能之前,需要确保已经安装了Audit SP1 +UPD2WONCC RUNTIME V7.4+SP1+UPD8 及以上版本的WinCC软件。 ...
open-audit:跟踪和报告IT及其相关资产和配置
03-18
有关详细信息,访问开放式审计Open-AudIT是一个应用程序,可以准确地告诉您网络中的内容,配置方式以及更改时间。 Open-AudIT将在Windows和Linux系统上运行。 Open-AudIT是一个信息数据库,可以通过Web界面和JSON ...
Bitrac.rar_audit
09-24
通过深入研究"Bitrac.rar_audit"这个案例,初学者可以得到实际操作经验,了解审计流程的各个步骤,掌握如何使用专业工具,并对审计的理论知识有更直观的理解。同时,这也可能包含一些实战技巧,帮助他们在未来的职业...
麒麟软件服务器系统安全合规加固脚本 加固弱密码,audit,防火墙等配置
06-26
麒麟软件服务器系统V10安全合规加固脚本。加固弱密码,audit,防火墙等配置 function Password_policy(){
linux 安全审计audit 系统审计 记录root操作
sonflower123的博客
06-08 3027
Linux auditctl 使用
Linux内核:进程管理——安全审计
m0_74282605的博客
04-17 1415
audit.rules 是 audit 的规则文件,确定 audit 的日志中记录哪些操作。syslog记录的信息有限,主要目的是软件调试,跟踪和打印软件的运行状态,而audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
Linux audit 安全审计干货
qq_40795955的博客
05-13 1961
目录简介一丶审计规则(Auditctlaudit.rules)二丶配置文件(auditd.conf)三丶报告工具(aureport)四丶事件查找(ausearch) 简介 简单来说,修改两个配置文件(/etc/audit/audit.rules 和/etc/audit/auditd.conf ),然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤:内核选项勾选和安装软件包(上篇文章已介绍)。添加审计规则,修改配置文件,然后启用 audit 守护进程进行日志记
【操作系统】安全审计-audit
Sanayeah的博客
11-16 3702
auditLinux内核提供的一种审计机制,由于audit是内核提供的,因此,在使用audit的过程中就包含内核空间和用户空间部分auditctl:用户态程序,用于审计规则配置配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志通常的使用流程用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。
linux审计功能及规则 (audit.rule)
winnieFighting
11-28 2676
在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。
审计规则配置
weixin_44683938的博客
01-24 2287
groupadd shenjiguanli useradd -g shenjiguanli audit audit 配置文件简介 audit 安装后会生成 2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。首次安装 audit 后, 审计规则文件是空的。 注意: #查看审计规则 #auditctl -l
audit-审计服务
sda1_hacker的博客
05-14 1930
audit审计服务和aide系统入侵检测的功能类似。 aide可以检测某个时间段内指定的文件是否被修改,至于是哪个用户修改的,aide无法进行检测,也不能提供保护功能。 audit可以检测哪些用户,在哪些时间段,使用了哪些命令,对哪些文件进行了操作,仅仅只是提供记录的命令(日志),不提供保护功能。 audit记录的内容:时间与事件、事件的结果、触发时间的用户、所有认证机制(输入用户名和密码)、对关...
audit.rules配置审计规则
11-24
audit.rules是Linux系统中用来配置审计规则的文件。审计规则用于定义需要被系统审计的操作和事件,以便跟踪和监控系统的安全性。 在audit.rules中,可以设置诸如文件访问、用户登录、系统调用、进程创建等各种类型的审计规则。通过配置审计规则,管理员可以监控系统中各种关键操作的发生情况,及时发现异常行为并采取相应的安全措施。 审计规则的配置格式比较灵活,可以通过命令行工具或者直接编辑文件的方式进行设置。通常需要指定要监控的对象、规则类型、操作类型、以及监控的详细内容等信息。 配置审计规则需要遵循一定的规范和逻辑,以确保审计的全面性和有效性。在配置过程中,需要综合考虑系统的实际需求和安全风险,选择合适的监控对象和规则类型,避免盲目监控导致不必要的系统开销。 通过合理配置audit.rules,管理员可以在系统运行过程中实时监控各种重要操作,并根据审计日志进行安全事件的分析和处理。这有助于提高系统的安全性和稳定性,及时发现和应对潜在的安全风险和威胁。 总之,audit.rules的配置审计规则是系统安全管理中重要的一环,需要管理员认真对待和精心设计,以保障系统的安全运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值