audit-审计服务

最新推荐文章于 2024-06-01 10:30:00 发布
最新推荐文章于 2024-06-01 10:30:00 发布
阅读量1.9k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sda1_hacker/article/details/102945320
版权

audit审计服务和aide系统入侵检测的功能类似。

aide可以检测某个时间段内指定的文件是否被修改,至于是哪个用户修改的,aide无法进行检测,也不能提供保护功能。

audit可以检测哪些用户,在哪些时间段,使用了哪些命令,对哪些文件进行了操作,仅仅只是提供记录的命令(日志),不提供保护功能。

audit记录的内容:时间与事件、事件的结果、触发时间的用户、所有认证机制(输入用户名和密码)、对关键文件的修改行为

audit对什么做审计:文件访问、系统调用、运行的命令、网络的访问行为

audit提供的工具:

ausearch:根据条件过滤审计日志
aureport:生成审计报告

部署audit:

yum -y install audit	#安装audit
systemctl start auditd	#启动服务
# 需要说明,audit这个服务在主机不关机的情况下是不会关闭的
# 主配置文件/etc/audit/audit.conf

1、audit命令:
	auditctl -s	#查询audit状态
	auditctl -l	#查看规则
	auditctl -D	#删除所有规则

2、命令行临时定义规则:
	auditctl -w path -p permission -k key_name
	# -w path:指定了监视的目录、文件、或者命令(通过which查找命令的完整路径)
	# -p permission:指明了操作 r、w、x、a(读、写、执行、属性)
	# -k key_name:自定义规则名,方便后期管理

	例:
	auditctl -w /etc/passwd -p wa -k passwd_change	#监控/etc/passwd文件的写入和属性变化
	
	auditctl -w /etc/selinux/ -p wa -k selinux_change	#监控/etc/selinux/目录的写入和属性变化
	
	auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition		#监控fdisk命令是否执行


3、定义永久规则:(文件内容可以手写,也可以复制auditctl -l查看到的内容)
vim /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_change
-w /etc/selinux/ -p wa -k selinux_change
-w  /usr/sbin/fdisk  -p x  -k  disk_partition
	

4、测试:
useradd david
ausearch -k passwd_change	#查看审计日志,过滤passwd_change的日志

fdisk -l 
ausearch -k disk_partition	#查看审计日志,过滤disk_partition的日志

audit规则定义:
在这里插入图片描述

测试:
在这里插入图片描述

在这里插入图片描述

写总结的第六十二天!!!

sda1_hacker
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
linux下的audit服务
weixin_34283445的博客
11-21 275
audit ['ɔːdɪt] 审计 auditd是linux的一个审计服务。 这是man下的解释 auditd is the userspace component to the Linux Auditing System. It’s responsible for writing audit records to the disk. Viewing the logs i...
linux audit 服务,Linux Ubuntu 14 Audit 系统审计服务
weixin_35995377的博客
05-07 1588
一、概述系统等保要求,必须做系统审计服务审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件,这里直接使用第三方插件 Audit,不用系统自带的审计服务日志。(如需要使用系统操作命令审计,可参考文章:https://www.cnblogs.com/tchua/p/7813284.html)Audit 说明文档: https://people.redhat.com/sgrubb/au...
【安全】linux audit审计使用入门
最新发布
qq_44005305的博客
06-01 846
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
linux中audit服务,linux下的audit服务
weixin_34227128的博客
05-06 2696
audit [‘??d?t] 审计auditd是linux的一个审计服务。这是man下的解释auditd is the userspace component to the Linux Auditing System. It’sresponsible for writing audit records to the disk. Viewing the logs isdone with ...
理解Linux Audit Service.
weixin_30362801的博客
06-27 679
一、概述 Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。 Audit由几个组件组成,每个组件都为整个框架提供重要功能。Linux audit(kauditd) ...
【网安合规】Audit 审计系统服务 - 快速监控检索系统安全事件,合规利器!
WeiyiGeek 唯一极客IT知识分享
04-07 734
本章,作者立足于企业中网络安全等级保护以及安全运维工作需求,从收集、归纳、实践三个部分开始,主要介绍Linux主流操作系统(银河麒麟 KylinOS,Ubuntu、Rocky LInux)中,适用于等保2.0主机安全合规的安全审计audit服务,并快速实践 audit 审计系统服务的搭建配置,以及罗列了常用的一些Linux audit 安全审计规则,然后使用audit插件将审计日志转发到本地rsyslog中,最后使用本地rsyslog服务将日志转发到企业日志中心服务器上,便于后续使用。
linux内核audit,linux下的audit服务
weixin_42298778的博客
04-29 1182
audit ['ɔːdɪt] 审计auditd是linux的一个审计服务。这是man下的解释auditd is the userspace component to the Linux Auditing System. It’sresponsible for writing audit records to the disk. Viewing the logs isdone with ...
Audit-审计工具箱.exe
04-22
create a shake-up in mobile phone operating systems with the launch of its Android platform. Designed to be completely open and free for developers, the API could change the way mo
audit-plugin-mysql-5.7-1.1.7 for Linux
06-12
mysql 5.7安全审计插件 Linux X86-X64通用...audit-plugin-mysql-5.7-1.1.7 for Linux 等保开启审计插件,貌似官网找不到,发出来共享. 缺点:日志信息比较大,对性能影响大。 优点:对每一时刻每一用户的操作都有记录。
audit-3.0-5.se.07.ky10.aarch64.rpm
06-07
"audit-3.0-5.se.07.ky10.aarch64.rpm" 是一个针对Linux操作系统的审计框架的升级包,主要用于系统安全监控和审计审计系统在IT领域中扮演着至关重要的角色,它能记录系统中的各种活动,帮助管理员检测潜在的安全...
audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64
04-09
这个名为 "audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64" 的压缩包包含了一个针对 MySQL 5.7 版本的审计解决方案,特别设计用来记录和分析数据库的各种操作,如查询、登录尝试、权限变更等。 审计插件的主要...
audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64.zip
04-25
4. **启用审计插件**:登录MySQL控制台,执行`INSTALL PLUGIN audit_log SONAME 'audit_log.so'`命令激活审计插件。 5. **配置审计插件**:使用`SET GLOBAL audit_log_policy = ALL;`命令开启全面审计,或者根据...
Linux auditd主机系统安全审计服务配置技术方案
watermelonbig的专栏
04-13 7954
Auditd是什么 Auditd是Linux审计系统的用户空间组件。Auditd是Linux审计守护进程的缩写。在Linux中,daemon被称为后台运行服务,当它在后台运行时,应用程序服务的末尾附加了一个“d”。auditd的工作是作为后台服务收集审计日志文件并将其写入磁盘。 审计系统由两个主要部分组成:用户空间应用程序和实用程序,以及内核端系统调用处理。内核组件接收来自用户空间应用程序的系统调用,并通过以下过滤器之一对其进行过滤:user、task、fstype或exit。 一旦系统调用通过了excl
linux audit审计(2)--audit启动
weixin_30384031的博客
03-30 985
参考:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls 1、启动audit内核模块 有些系统audit的内核模块时默认关闭的。可以查看/proc/cmdline,看au...
audit系统审计
行走的皮卡丘
10-13 3125
什么是审计审计的案例audit审计系统安装软件包,查看配置文件(确定审计日志的位置)配置审计规则查看并分析日志手动查看日志通过工具搜索日志。
银河麒麟高级服务器操作系统V10SP2(X86)audit服务组件升级、进程彻底关闭介绍
weixin_45754407的博客
05-06 1615
银河麒麟高级服务器操作系统V10SP2(X86)audit服务组件升级、进程彻底关闭介绍
Linux安全 chage sudo授权 selinux安全上下文 gpg加密 aide入侵检测系统 audit 审计
weixin_42825965的博客
09-06 192
chage -E 日期 用户名 指定用户失效日期 chage -d0 用户 强制用户修改密码 passwd -l 用户名 锁定密码 passwd -u 用户名 解锁 passwd -S 用户名 看状态 chattr (+-=) i(不可改变) a(只能追加) 文件 lsattr 查看 su - 用户 -c 命令 sudo -u (root) 特权命令 su...
auditd 用户审计详解
悦分享
01-08 1040
syslog会记录系统状态(硬件警告、软件的log), 但syslog属于应用层, log归咎于软件, 所以并不会记录所有动作,于是才有了auditauditd工具可以记录文件变化、记录用户对文件的读写访问,甚至记录系统调用,文件变化通知等。同时auditd工具可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。但是auditd本身不提供额外的安全性保障,它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。
audit-libs-2.8.4
05-14
audit-libs-2.8.4是一个用于Linux操作系统中审计子系统的库。审计子系统是一个内置在Linux内核中的功能,可以记录系统的各种事件,如文件的访问和修改,进程的创建和销毁,用户登录和注销等等,在需要进行安全审计时,可以方便地查询这些记录,以确定系统是否存在潜在的安全隐患。 audit-libs-2.8.4库提供了与审计子系统交换数据的API接口,使得开发人员可以在自己的程序中调用这些接口,实现用户自定义的审计功能。这些接口包括: 1. 审计规则操作API:enable_rule、disable_rule、delete_rule等; 2. 审计记录读取API:get_reply、flush等; 3. 审计资源操作API:audit_add_watch、audit_dell_watch、audit_add_rule_data等。 audit-libs-2.8.4库的出现,可以方便地扩展Linux操作系统的审计功能,包括定制一些特定的审计规则、管理审计的日志等。同时,它也为第三方软件的开发提供了审计功能的支持,可以使得对于系统安全的监控和管理更加便利。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值