Linux audit 安全审计干货

最新推荐文章于 2023-06-13 16:24:49 发布
最新推荐文章于 2023-06-13 16:24:49 发布
阅读量1.8k 收藏 8
点赞数 1
分类专栏: 安全审计 audit linux 文章标签: 安全 linux c语言 ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40795955/article/details/106103058
版权

目录

简介

	简单来说,修改两个配置文件(/etc/audit/audit.rules 和/etc/audit/auditd.conf ),然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤:内核选项勾选和安装软件包(上篇文章已介绍)。添加审计规则,修改配置文件,然后启用 audit 守护进程进行日志记录,最后生成审计日志来分析数据。

在这里插入图片描述

Linux audit 架构示意图

项目 说明
User 记录用户空间中产生的事件
Task 跟踪应用程序的子进程(fork)
Exit 当一个系统调用结束时判断是否记录该调用
Exclude 删除(过滤)不合格事件
auditctl 即时控制审计守护进程行为的工具
/etc/audit/audit.rules 记录审计规则的文件
aureport 查看和生成审计报告的工具
ausearch 查找审计事件的工具
auditspd 转发事件通知给其他应用程序,而不是写入到审计日志文件中
autrace 一个用于跟踪进程的命令
/etc/audit/auditd.conf auditd工具的配置文件

一丶审计规则(Auditctl 和 audit.rules)

可以先用 auditctl -h,查看auditctl命令使用规则

auditctl [选项] filter,action -S syscall -F condition -k label

-S 表示系统调用号或名字
-F 表示规则域。
-k 表示设置审计规则上的过滤关键

项目 可选参数 说明
filter user,exit,task,exclude 哪个内核规则匹配过滤器应用在事件中
action always, never 是否审核事件
syscall all, open 所有的系统调用都可以在/usr/include/asm/unistd_64.h 文件中找到
condition euid=0, arch=b64 进一步修改规则与特定架构、组 ID、进程 ID 和其他内容为基础的事件相匹配
label 任意文字 标记审核事件并检索日志

audit 审计规则分成三个部分:

  1. 控制规则:用于更改审计系统本身的配置/设置。
    -D #删除所有当前装载的审核规则#
    -b 8192 #在内核中设定最大数量的已存在的审核缓冲区为 8Mb#
    -e 2 #锁定审核配置#

  2. 文件系统规则:文件或目录监视,可以审核对特定文件或目录的任何类型的访问。
    用auditctl命令,监控文件,系统行为
    规则格式:

     			-w 路径  
 			-p 权限:
 					  r — 读取文件或者目录。
 					  w — 写入文件或者目录。
 					  x — 运行文件或者目录。
 					  a — 改变在文件或者目录中的属性。
 			-k 关键字
 			
 			举例:要监控/etc/passwd 文件的修改行为
 					#auditctl -w /etc/passwd -p wa

  3. 系统调用规则:用于监视由任何进程或特定用户进行的系统调用。

     -a 添加一条系统调用监控规则
 -S 显示需要监测的系统调用的名称
 -D 删除所有规则
 -d 删除一条规则和-a 对应
 -w 写入文件或者目录。
 -W 删除一条规则和-w 对应

auditctl命令是临时的,永久生效需要放到audit.rules文件中。如果在运行守护进程时添加规则/

最低0.47元/天 解锁文章
kein zou
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
操作系统安全Linux安全审计Linux日志详解
wangyuxiang946的博客
04-26 4483
这篇文章给大家介绍Linux用来做安全审计的日志有哪些,解析日志字段含义。
linux审计功能及规则 (audit.rule)
winnieFighting
11-28 2195
在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
audit详细使用配置
张无忌
05-09 3384
Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。
linux audit审计服务audit.rules策略参数
a063225的博客
11-03 4238
auditlinux内核的特性,可以通过内核参数audit=1来启用。 /etc/audit/audit.rules是audit的规则文件,本文主要讲述如何利用audit来监视系统重要资源。 一、监控文件系统行为(依靠文件、目录的权限属性来识别) 规则格式:-w 路径 -p 权限 -k 关键字 其中权限动作分为四种 r 读取文件 w 写入文件 x 执行文件 a 修改文件属性 示例,监控/etc/passwd文件的修改行为(写,权限修改) -w /etc/passwd -p wa 将上述内容加入到audi
Linux-Audit审计解析
qq_38135115的博客
02-20 4515
前言 Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。 Linux 用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访...
Linux安全审计功能的实现—audit命令
yunweimao的博客
02-10 8164
1、简介我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
Linux安全审计audit 系统审计 记录root操作
河静
09-24 3846
Linux安全审计audit 系统审计 1.审计介绍 Linux 审计系统提供了一种跟踪系统上与安全相关的信息的方法。根据预先配置的规则,Audit 会生成日志条目,以尽可能多地记录有关系统上发生的事件的信息。此信息对于关键任务环境确定安全策略的违反者及其执行的操作至关重要。审计不会为您的系统提供额外的安全性;相反,它可用于发现违反您系统上使用的安全策略的情况。可以通过其他安全措施(例如 SELinux)进一步防止这些违规行为。 audit能够在日志中记录的信息有: 时间的日期时间、类型和结果 主体和
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
Linux操作系统之安全审计功能-Audit
10-10
Kylin Linux Advanced Server release V10 (Tercel)以RPM包方式安装Auditd,开启审计功能。
Audit 安全审计服务
05-05
医疗机构 区域互联互通国标 04 Audit 安全审计服务 wsdl文件 已验证
Linux虚拟机的安全审计-bruce1
08-08
首先,我们要了解Linux安全审计系统的核心组件——`auditd`服务。`auditd`是Linux内核审计子系统的用户空间守护进程,负责收集、过滤和存储系统的审计事件。通过审计,我们可以追踪到系统中关键文件和目录的变更,...
Linux audit userspace repository.zip
最新发布
06-22
Linux是一套免费使用和自由传播的类Unix操作系统,由林纳斯·托瓦兹于1991年首次发布。 Linux不仅是一个强大的操作系统,也是一个庞大的技术生态系统,涵盖了从服务器到个人电脑的各种应用场景。同时,它的开源特性...
linux审计audit可以定义的规则,linux audit审计(5)--audit规则配置
weixin_35900383的博客
05-15 951
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
Linux中常见的命令
Snowflake1997的博客
12-07 174
查看状态:systemctl status rsyslog systemctl status auditd 关闭:systemctl stop auditd 查看规则:cat /etc/audit/audit.rules 查看运行服务:systemctl -a | grep running service –status-all | grep running 关闭服务:systemctl st...
Linux安全基线-audit审计规则配置7小项(CentOS8)
bigwood99的博客
09-30 1371
监视与文件和文件属性的删除或重命名关联的系统调用的使用。此配置语句设置对unlink(删除文件),unlinkat(删除文件属性),rename(重命名文件)和renameat(重命名文件属性)系统调用的监视,并使用标识符“delete”对其进行标记。以下参数监视sethostname(设置系统主机名)或setdomainname(设置系统域名)系统调用,并在系统调用出口上写入审核事件。并且将审核记录写入文件/var/log/audit.log,并用标识符“ time-change”标记记录。
auditd、bpftrace
H4ppyD0g的博客
12-23 859
本文为作者本科毕业设计相关内容的系列文章,记录从零基础到开发一个linux下进程行为检测程序(或者只是学习成果)的过程(详细笔记)。通过学习本系列文章,您可以从零基础到添加linux内核模块并研发一个捕获进程所有系统调用的日志系统。本系列文章收录在系统安全专栏。 前文链接 [linux下进程行为检测] 1.proc、sys文件系统 文章目录auditd介绍基本使用auditd审核配置Bpftrace介绍内核探针 auditd介绍 auditd=>(audit daemon) 是Linux审计系统中一
用Chat GPT来处理工作问题、Chat GPT处理重启auditd服务后/etc/audit/audit.rules文件内容消失和openssl对文件的加解密的使用说明
崔崇鑫的博客,你linux/云运维工作中的百科全书。
06-13 385
使用过以后发现 在AI面前 人类真的太渺小了 人的知识储备量 和AI真的完全没发比 比百度还好使,所以以后有没有一天,我们的行业也会被AI代替呢?开个玩笑的 不要太焦虑 好好学习就行 不断提升自己的技能即可 ai是没有感情的 不会完全替代人工的了。这玩意和电脑刚普及的时候一样 具有2面性的用得好 可以认识世界长见识。用的不好,天天玩游戏,颓废从此开始。
linux 安全审计 数据保护
11-25
Linux安全审计和数据保护是Linux系统中非常重要的一部分,以下是一些相关的方法和步骤: 1. SELinuxLinux系统中的一个强制访问控制(MAC)系统,它可以限制进程只能访问它被授权的资源。可以通过以下命令来检查SELinux是否开启: ```shell sestatus ``` 如果SELinux处于enforcing模式,则表示它正在强制执行安全策略。如果SELinux处于permissive模式,则表示它只记录违规行为而不强制执行安全策略。如果SELinux处于disabled模式,则表示它已被完全禁用。 2. 可以使用Linux Audit框架来记录系统上发生的安全事件。可以使用以下命令来检查Linux Audit是否已安装: ```shell rpm -q audit ``` 如果未安装,则可以使用以下命令安装: ```shell yum install audit ``` 安装完成后,可以使用以下命令来启用Linux Audit: ```shell systemctl enable auditd.service systemctl start auditd.service ``` 然后,可以使用以下命令来查看Linux Audit日志: ```shell ausearch -m USER_AUTH ``` 这将显示所有与用户身份验证相关的事件。 3. 可以使用Linux系统中的加密文件系统来保护敏感数据。可以使用以下命令来创建一个加密文件系统: ```shell cryptsetup luksFormat /dev/sdb1 cryptsetup luksOpen /dev/sdb1 my_encrypted_fs mkfs.ext4 /dev/mapper/my_encrypted_fs mount /dev/mapper/my_encrypted_fs /mnt/my_encrypted_fs ``` 这将创建一个名为my_encrypted_fs的加密文件系统,并将其挂载到/mnt/my_encrypted_fs目录中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值