audit-审计服务

audit审计服务和aide系统入侵检测的功能类似。

aide可以检测某个时间段内指定的文件是否被修改,至于是哪个用户修改的,aide无法进行检测,也不能提供保护功能。

audit可以检测哪些用户,在哪些时间段,使用了哪些命令,对哪些文件进行了操作,仅仅只是提供记录的命令(日志),不提供保护功能。

audit记录的内容:时间与事件、事件的结果、触发时间的用户、所有认证机制(输入用户名和密码)、对关键文件的修改行为

audit对什么做审计:文件访问、系统调用、运行的命令、网络的访问行为

audit提供的工具:

ausearch:根据条件过滤审计日志
aureport:生成审计报告

部署audit:

yum -y install audit	#安装audit
systemctl start auditd	#启动服务
# 需要说明,audit这个服务在主机不关机的情况下是不会关闭的
# 主配置文件/etc/audit/audit.conf

1、audit命令:
	auditctl -s	#查询audit状态
	auditctl -l	#查看规则
	auditctl -D	#删除所有规则

2、命令行临时定义规则:
	auditctl -w path -p permission -k key_name
	# -w path:指定了监视的目录、文件、或者命令(通过which查找命令的完整路径)
	# -p permission:指明了操作 r、w、x、a(读、写、执行、属性)
	# -k key_name:自定义规则名,方便后期管理

	例:
	auditctl -w /etc/passwd -p wa -k passwd_change	#监控/etc/passwd文件的写入和属性变化
	
	auditctl -w /etc/selinux/ -p wa -k selinux_change	#监控/etc/selinux/目录的写入和属性变化
	
	auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition		#监控fdisk命令是否执行


3、定义永久规则:(文件内容可以手写,也可以复制auditctl -l查看到的内容)
vim /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_change
-w /etc/selinux/ -p wa -k selinux_change
-w  /usr/sbin/fdisk  -p x  -k  disk_partition
	

4、测试:
useradd david
ausearch -k passwd_change	#查看审计日志,过滤passwd_change的日志

fdisk -l 
ausearch -k disk_partition	#查看审计日志,过滤disk_partition的日志

audit规则定义:
在这里插入图片描述

测试:
在这里插入图片描述

在这里插入图片描述

写总结的第六十二天!!!

  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值