Linux系统上针对rm命令做审计

最新推荐文章于 2024-02-27 21:15:00 发布
最新推荐文章于 2024-02-27 21:15:00 发布
阅读量1.5k 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rgb_rgb/article/details/52537102
版权

Linux系统上针对rm命令做审计


[root@test ~]# cat /etc/audit/audit.rules
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.


# First rule - delete all
-D


# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320


# Feel free to add below this line. See auditctl man page

-a exit,always -F arch=b64 -S execve -F path=/bin/rm -k rm         --新增此行


[root@test ~]# 
[root@test ~]#  service auditd restart
Stopping auditd:                                           [  OK  ]
Starting auditd:                                           [  OK  ]
[root@test ~]#  auditctl -l
LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/bin/rm key=rm syscall=execve
[root@test ~]# 


开始测试:
#rm 22.txt
#pwd
[root@test ~]# ausearch -k rm
----
time->Wed Sep 14 12:22:13 2016
type=PATH msg=audit(1473826933.202:4232482): item=1 name=(null) inode=3277219 dev=08:05 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1473826933.202:4232482): item=0 name="/bin/rm" inode=27918399 dev=08:05 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1473826933.202:4232482):  cwd="/root"
type=EXECVE msg=audit(1473826933.202:4232482): argc=3 a0="rm" a1="-i" a2="22.txt"
type=SYSCALL msg=audit(1473826933.202:4232482): arch=c000003e syscall=59 success=yes exit=0 a0=e46e20 a1=e458e0 a2=e18d40 a3=20 items=2 ppid=26701 pid=5248 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=359759 comm="rm" exe="/bin/rm" key="rm"


测试结束:能够记录在什么时间用什么命令删除了那个目录上的文件。

建议:在生产系统上最好建议文件系统的删除文件的回收站,避免不必要的损失,以防万一。
rgb_rgb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
操作系统安全:Linux安全审计Linux日志详解
wangyuxiang946的博客
04-26 5924
这篇文章给大家介绍Linux用来安全审计的日志有哪些,解析日志字段含义。
Linux虚拟机的安全加固-bruce1
08-08
本文主要讨论在Azure平台上针对CentOS 7.3进行的Linux安全加固策略,尽管如此,这些方法适用于其他Linux发行版,但可能需要根据具体版本进行调整。 首先,强化密码策略是基础安全措施之一。在Linux中,可以通过修改...
Linux安全审计功能的实现—audit命令
yunweimao的博客
02-10 8255
1、简介我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
Linux中常见的命令
Snowflake1997的博客
12-07 180
查看状态:systemctl status rsyslog systemctl status auditd 关闭:systemctl stop auditd 查看规则:cat /etc/audit/audit.rules 查看运行服务:systemctl -a | grep running service –status-all | grep running 关闭服务:systemctl st...
用Chat GPT来处理工作问题、Chat GPT处理重启auditd服务后/etc/audit/audit.rules文件内容消失和openssl对文件的加解密的使用说明
崔崇鑫的博客,你linux/云运维工作中的百科全书。
06-13 426
使用过以后发现 在AI面前 人类真的太渺小了 人的知识储备量 和AI真的完全没发比 比百度还好使,所以以后有没有一天,我们的行业也会被AI代替呢?开个玩笑的 不要太焦虑 好好学习就行 不断提升自己的技能即可 ai是没有感情的 不会完全替代人工的了。这玩意和电脑刚普及的时候一样 具有2面性的用得好 可以认识世界长见识。用的不好,天天玩游戏,颓废从此开始。
linux审计功能及规则audit.rule)
winnieFighting
11-28 2630
在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。
linux安全加固文档.docx
09-13
11. **别名设置**:为命令如`ls`和`rm`设置别名,如在`.bashrc`或`.cshrc`文件中添加`alias ls='ls -aol'`和`alias rm='rm -i'`,增加用户在执行这些命令时的安全性提示。 在进行这些操作时,务必备份相关配置文件...
linux-定时清除日志
11-09
日志文件记录了系统和应用程序的各种活动,它们可以用于调试问题、监控性能以及安全审计。然而,如果不定期清理,日志文件可能会迅速占用大量磁盘空间,导致系统资源紧张甚至服务中断。针对这种情况,我们可以使用...
linux电子教案完整版
05-13
这份教程可能包括了多个章节,每个章节都针对Linux的不同方面进行讲解,例如系统安装、命令行操作、文件管理、用户权限、网络配置、进程管理、脚本编程、系统服务和安全管理等。 1. **Linux简介**:介绍Linux的历史...
Linux学习教程之 Red Hat Linux 基础教程
03-20
1. 安装与启动:介绍如何在不同硬件上安装Red Hat Linux,以及系统启动流程。 2. 文件系统:理解Linux的目录结构,如根目录(/)、用户主目录(/home)等,以及文件权限和属性。 3. 命令行:学习常用命令,如ls、cd...
Linux audit 安全审计干货
qq_40795955的博客
05-13 1956
目录简介一丶审计规则Auditctl 和 audit.rules)二丶配置文件(auditd.conf)三丶报告工具(aureport)四丶事件查找(ausearch) 简介 简单来说,修改两个配置文件(/etc/audit/audit.rules 和/etc/audit/auditd.conf ),然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤:内核选项勾选和安装软件包(上篇文章已介绍)。添加审计规则,修改配置文件,然后启用 audit 守护进程进行日志记
等保测评Linux测评命令
qq_50495562的博客
04-24 8131
等保测评Linux测评命令 1.cat /etc/shadow查看口令,查看账户 2.cat /etc/ssh/ssh_config permitemptypasswords 注释或者后面加no 不允许空口令远程登录 3.cat /etc/pam.d/system-auth 查看密码复杂度 grep pam_cracklib.so模块查看,centos7之后是pam_pwquality.so模块。限制root用户,添加 enforce_for_root 密码复杂度配置详解 4.cat /etc
Linux安全之auditd审计工具使用说明
最新发布
Innocence_0的博客
02-27 3677
audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置是使用auditctl实用程序完成的。在启动过程中,/etc/audit/audit.rules中的规则auditctl读取并加载到内核中。另外,还有一个augenrules程序,它读取/etc/audit/rules.d/中的规则,并将它们编译为audit.rules文件。
linux审计功能
lishenglong666的专栏
12-16 3730
linux审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
【肥海豹】-网络安全等级保护(等保)-LINUX类服务器配置
FAT_SEAL的博客
08-07 3592
本文为个人总结,欢迎交流指正,集思广益,发现错误或其他配置方案会进行更新。(三级系统要求,以CentOS系统为例,不同版本可能有配置区别) 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1. 要求登录服务器的用户具有独立的身份标识(用户名),并需要采用身份鉴别措施(例如使用用户名+密码进行登录); 2. 要求服务器中不存在同名用户(服务器自身无法创建同名用户); 3. 要求从服务器策略上对密码复杂度进行限制,策略配置方法:...
linux审计audit可以定义的规则,linux audit审计(5)--audit规则配置
weixin_35409775的博客
05-15 658
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
linux audit审计服务audit.rules策略参数
a063225的博客
11-03 4295
auditlinux内核的特性,可以通过内核参数audit=1来启用。 /etc/audit/audit.rules是audit规则文件,本文主要讲述如何利用audit监视系统重要资源。 一、监控文件系统行为(依靠文件、目录的权限属性来识别) 规则格式:-w 路径 -p 权限 -k 关键字 其中权限动作分为四种 r 读取文件 w 写入文件 x 执行文件 a 修改文件属性 示例,监控/etc/passwd文件的修改行为(写,权限修改) -w /etc/passwd -p wa 将上述内容加入到audi
Linux系统安全--安全审计audit
u012967763的专栏
01-12 2286
1、audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs)。syslog记...
Linux文件管理:rm命令详解及权限修改
本文主要概述了Linux系统中的文件管理和删除操作,特别是`rm`命令的使用。文件管理系统Linux中至关重要,因为它涉及到文件和目录的创建、访问、修改以及权限控制等多个方面。理解文件的属性和权限是有效管理的基础...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值