audit-审计服务

最新推荐文章于 2024-06-01 10:30:00 发布
最新推荐文章于 2024-06-01 10:30:00 发布
阅读量1.9k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sda1_hacker/article/details/102945320
版权

audit审计服务和aide系统入侵检测的功能类似。

aide可以检测某个时间段内指定的文件是否被修改,至于是哪个用户修改的,aide无法进行检测,也不能提供保护功能。

audit可以检测哪些用户,在哪些时间段,使用了哪些命令,对哪些文件进行了操作,仅仅只是提供记录的命令(日志),不提供保护功能。

audit记录的内容:时间与事件、事件的结果、触发时间的用户、所有认证机制(输入用户名和密码)、对关键文件的修改行为

audit对什么做审计:文件访问、系统调用、运行的命令、网络的访问行为

audit提供的工具:

ausearch:根据条件过滤审计日志
aureport:生成审计报告

部署audit:

yum -y install audit	#安装audit
systemctl start auditd	#启动服务
# 需要说明,audit这个服务在主机不关机的情况下是不会关闭的
# 主配置文件/etc/audit/audit.conf

1、audit命令:
	auditctl -s	#查询audit状态
	auditctl -l	#查看规则
	auditctl -D	#删除所有规则

2、命令行临时定义规则:
	auditctl -w path -p permission -k key_name
	# -w path:指定了监视的目录、文件、或者命令(通过which查找命令的完整路径)
	# -p permission:指明了操作 r、w、x、a(读、写、执行、属性)
	# -k key_name:自定义规则名,方便后期管理

	例:
	auditctl -w /etc/passwd -p wa -k passwd_change	#监控/etc/passwd文件的写入和属性变化
	
	auditctl -w /etc/selinux/ -p wa -k selinux_change	#监控/etc/selinux/目录的写入和属性变化
	
	auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition		#监控fdisk命令是否执行


3、定义永久规则:(文件内容可以手写,也可以复制auditctl -l查看到的内容)
vim /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_change
-w /etc/selinux/ -p wa -k selinux_change
-w  /usr/sbin/fdisk  -p x  -k  disk_partition
	

4、测试:
useradd david
ausearch -k passwd_change	#查看审计日志,过滤passwd_change的日志

fdisk -l 
ausearch -k disk_partition	#查看审计日志,过滤disk_partition的日志

audit规则定义:
在这里插入图片描述

测试:
在这里插入图片描述

在这里插入图片描述

写总结的第六十二天!!!

sda1_hacker
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
linux下的audit服务
weixin_34283445的博客
11-21 275
audit ['ɔːdɪt] 审计 auditd是linux的一个审计服务。 这是man下的解释 auditd is the userspace component to the Linux Auditing System. It’s responsible for writing audit records to the disk. Viewing the logs i...
linux audit 服务,Linux Ubuntu 14 Audit 系统审计服务
weixin_35995377的博客
05-07 1588
一、概述系统等保要求,必须做系统审计服务审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件,这里直接使用第三方插件 Audit,不用系统自带的审计服务日志。(如需要使用系统操作命令审计,可参考文章:https://www.cnblogs.com/tchua/p/7813284.html)Audit 说明文档: https://people.redhat.com/sgrubb/au...
【安全】linux audit审计使用入门
最新发布
qq_44005305的博客
06-01 844
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
audit详细使用配置
张无忌
05-09 3466
Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。
【操作系统】安全审计-audit
Sanayeah的博客
11-16 3683
audit是Linux内核提供的一种审计机制,由于audit是内核提供的,因此,在使用audit的过程中就包含内核空间和用户空间部分auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志通常的使用流程用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。
银河麒麟高级服务器操作系统V10SP2(X86)audit服务组件升级、进程彻底关闭介绍
weixin_45754407的博客
05-06 1603
银河麒麟高级服务器操作系统V10SP2(X86)audit服务组件升级、进程彻底关闭介绍
Audit-审计工具箱.exe
04-22
create a shake-up in mobile phone operating systems with the launch of its Android platform. Designed to be completely open and free for developers, the API could change the way mo
audit-plugin-mysql-5.7-1.1.7 for Linux
06-12
mysql 5.7安全审计插件 Linux X86-X64通用...audit-plugin-mysql-5.7-1.1.7 for Linux 等保开启审计插件,貌似官网找不到,发出来共享. 缺点:日志信息比较大,对性能影响大。 优点:对每一时刻每一用户的操作都有记录。
audit-3.0-5.se.07.ky10.aarch64.rpm
06-07
"audit-3.0-5.se.07.ky10.aarch64.rpm" 是一个针对Linux操作系统的审计框架的升级包,主要用于系统安全监控和审计审计系统在IT领域中扮演着至关重要的角色,它能记录系统中的各种活动,帮助管理员检测潜在的安全...
audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64
04-09
这个名为 "audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64" 的压缩包包含了一个针对 MySQL 5.7 版本的审计解决方案,特别设计用来记录和分析数据库的各种操作,如查询、登录尝试、权限变更等。 审计插件的主要...
audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64.zip
04-25
4. **启用审计插件**:登录MySQL控制台,执行`INSTALL PLUGIN audit_log SONAME 'audit_log.so'`命令激活审计插件。 5. **配置审计插件**:使用`SET GLOBAL audit_log_policy = ALL;`命令开启全面审计,或者根据...
Linux:安全审计功能的实现——audit详解
hhd1988的专栏
07-15 4719
安全审计功能的实现——audit详解
auditd 用户审计详解
悦分享
01-08 1040
syslog会记录系统状态(硬件警告、软件的log), 但syslog属于应用层, log归咎于软件, 所以并不会记录所有动作,于是才有了audit。auditd工具可以记录文件变化、记录用户对文件的读写访问,甚至记录系统调用,文件变化通知等。同时auditd工具可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。但是auditd本身不提供额外的安全性保障,它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。
【网安合规】Audit 审计系统服务 - 快速监控检索系统安全事件,合规利器!
WeiyiGeek 唯一极客IT知识分享
04-07 732
本章,作者立足于企业中网络安全等级保护以及安全运维工作需求,从收集、归纳、实践三个部分开始,主要介绍Linux主流操作系统(银河麒麟 KylinOS,Ubuntu、Rocky LInux)中,适用于等保2.0主机安全合规的安全审计audit服务,并快速实践 audit 审计系统服务的搭建配置,以及罗列了常用的一些Linux audit 安全审计规则,然后使用audit插件将审计日志转发到本地rsyslog中,最后使用本地rsyslog服务将日志转发到企业日志中心服务器上,便于后续使用。
audit安装配置及使用
weixin_45630387的博客
04-14 1204
官网链接:https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing。
audit-libs-2.8.4
05-14
audit-libs-2.8.4是一个用于Linux操作系统中审计子系统的库。审计子系统是一个内置在Linux内核中的功能,可以记录系统的各种事件,如文件的访问和修改,进程的创建和销毁,用户登录和注销等等,在需要进行安全审计时,可以方便地查询这些记录,以确定系统是否存在潜在的安全隐患。 audit-libs-2.8.4库提供了与审计子系统交换数据的API接口,使得开发人员可以在自己的程序中调用这些接口,实现用户自定义的审计功能。这些接口包括: 1. 审计规则操作API:enable_rule、disable_rule、delete_rule等; 2. 审计记录读取API:get_reply、flush等; 3. 审计资源操作API:audit_add_watch、audit_dell_watch、audit_add_rule_data等。 audit-libs-2.8.4库的出现,可以方便地扩展Linux操作系统的审计功能,包括定制一些特定的审计规则、管理审计的日志等。同时,它也为第三方软件的开发提供了审计功能的支持,可以使得对于系统安全的监控和管理更加便利。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值