简介
Linux Auditing System用于跟踪和记录Linux操作系统中和安全相关的事件,其包含对应的内核组件(CONFIG_AUDIT)及用户态的软件包(auditd),auditd又包含如下主要组件:
auditd:守护进程,用于记录事件;
auditctl:命令行工具,用于控制auditd,如增加和删除规则
aureport:生成和查看审计规则的文件
ausearch:是一个搜索各种事件的工具
autrce:用于跟踪进程的命令
/etc/audit/rules.d/audit.rules:包含审核规则的文件
/etc/audit/auditd.conf:审计工具的配置文件
启用内核选项
1.打开内核选项:make menuconfig ARCH=arm
2.选中Auditing support
3.重新编译内核:make CROSS_COMPILE=arm-linux-gnueabi- ARCH=arm
增加软件包auditd
#apt install auditd
配置和启用auditd
1.通过qemu启动ubuntu系统
2.启动 sudo service auditd start
3.配置auditd规则
监控passwd文件:sudo auditctl -w /etc/passwd -p rwxa
监控用户主目录:sudo auditctl -w /home/***
4.查看auditd规则(确认规则添加成功):sudo auditctl –l
注:后续会更新