auditd审计syscall操作

最新推荐文章于 2024-07-19 09:30:00 发布
最新推荐文章于 2024-07-19 09:30:00 发布
阅读量1.5k 收藏
点赞数
分类专栏: OS 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skdouble/article/details/106677101
版权
本文介绍了如何利用auditd在Linux系统中审计系统调用,包括配置auditd服务,设置审计规则以监控特定的syscalls如settimeofday,并详细说明了规则的持久化方法。通过这些规则,可以在/var/log/audit/audit.log文件中记录审计日志,以便于系统时间调整等关键操作的跟踪和审计。
摘要由CSDN通过智能技术生成

title: auditd审计syscall操作

1.linux内核需要打开CONFIG_AUDIT和CONFIG_AUDITSYSCALL选项,系统启动时会运行内核任务kauditd
2.用户态通过安装auditd安装包,启动auditd服务来接收内核模块的审计日志信息,记录到/var/log/audit/audit.log文件中
audit可以配置规则,这个规则是给内核模块下发的,内核kauditd模块会按照这个规则获取审计信息,发送给auditd来记录日志
规则类型可以分为:
a、控制规则:控制audit系统的规则;
b、文件系统规则:也可以认为是文件监控,可以监控一个特性文件或者路径
c、系统调用规则:可以记录特性程序的系统调用,系统调用可以在uapi/asm/unistd.h文件中查找内核支持的syscall

audit规则可以通过命令auditctl即时添加规则生效,这些规则是临时的重启后就不存在了,也可以通过配置文件/etc/audit/rules.d/audit.rules添加规则,每次auditd服务启动时从这个配置文件加载规则生效。

增加一个事件修改的审计规则:
auditctl -a always,exit -S settimeofday -S clock_settime -S timerfd_settime -S clock_adjtime -k change_date
也可以修改配置文件,设置重启时加载规则生效
auditd安装包中默认提供了audit.rules规则文件,在/etc/audit/rules.d/audit.rules中新增稽核规则
-a always,exit -S settimeofday -S clock_sett

最低0.47元/天 解锁文章
skdouble
关注
专栏目录
linux开启审计进程,系统运维|Auditd-Linux 服务器安全审计工具
weixin_42680139的博客
04-28 2117
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。什么是auditd...
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4444
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
CONFIG_AUDIT
peterhunter0320的博客
04-06 206
内核配置菜单中,你可以找到Security options子菜单下的Auditing support选项,将其设置为y即可启用CONFIG_AUDIT。值得注意的是,即使你启用了CONFIG_AUDIT内核中的审计功能默认可能是关闭的。此外,CONFIG_AUDIT还与其他一些相关的配置选项有关联,比如CONFIG_AUDITSYSCALL,它决定了是否启用系统调用审计。总的来说,CONFIG_AUDIT是一个关键的内核配置选项,它允许你在构建内核时决定是否包含审计功能。
银河麒麟服务器系统V10SP3(全ARM架构)auditd.service(审计服务)异常问题解决
最新发布
qq_27815483的博客
07-19 938
银河麒麟高级服务器操作系统V10SP3,升级完内核后,通过systemctl status auditd.service命令发现auditd.service(审计服务)异常,并提示:Condition check resulted in securityAuditing Service being skipped
strace 对auditd监控的系统调用syscall性能分析
guoguangwu的专栏
08-26 812
编写测试程序,内部调用系统调用,或者比较简单的方式,对sshd进程进行性能分析。 采用第二种方式进行分析: 找到要监控性能的进程的pid; 不开启auditd监控规则, 使用strace开始测试 启动检测 sudo strace -c -p 7344 上传文件linux_kernel_2-6-11-12_comment.tar.bz2 上传完毕, ctrl +c 终止。 ...
操作系统】安全审计-audit_linux auditLinux运维基础面试常常死在这几个问题上
m0_60707685的博客
04-06 382
网上查询的,好多说是看这个文件https://github.com/torvalds/linux/blob/master/arch/sh/include/asm/unistd.h。
linux-auditd.service
yuanlnet的博客
10-23 153
linux-auditd.service
linux auditd审计的简单使用和理解
qq_26614295的博客
08-29 1万+
centos 日志审计_Linux\CentOS中auditd安全审计工具的使用
weixin_32943417的博客
01-17 1181
介绍Auditd工具可以帮助运维人员审计Linux。这个工具在大多数Linux操作系统中是默认安装的,是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。安装$apt-getinstallauditdor$yum-yinstallauditauditd-libs相关命令auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等$sudoaudit...
linux 安全审计audit 系统审计 记录root操作
sonflower123的博客
06-08 3063
Linux auditctl 使用
停止linux机器的auditd.service
mmgithub123的博客
02-25 3818
在使用ansible 或者ssh的时候。因为机器上也装了一些特殊软件。导致经常ansible执行卡住,或者ssh卡住。或者机器莫名假死。 所以绝对停掉auditd.service服务看看。 但这个服务的service文件配置了,RefuseManualStop=yes,是不允许手动停止的。 所以需要这里RefuseManualStop=yes 改成no,然后操作。 ansible all-lin...
Linux audit详解
热门推荐
whuzm08的专栏
02-14 3万+
什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs) syslog记录的信息有限,主要...
auditd重启失败
weixin_30544657的博客
06-11 2139
发现auditd 服务有问题 进行重启 systemctl restart auditdFailed to restart auditd.service: Operation refused, unit auditd.service may be requested by dependency only The audit daemon must be controlled from...
audit审计监控文件加固常见的服务
weixin_42816196的博客
07-03 1872
审计工具有很多,每个公司都有,有些是自己开发,有些是用开源软件     audit  一但开了是关不了的,是随系统启动的 系统自带软件 最小化安装也会被安装, 除非是kist  %????  什么是auditd? auditd(或 auditd 守护进程)是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。   [root@porxy ~]# rpm -q audi...
Linux安全之auditd审计工具使用说明
Innocence_0的博客
02-27 4511
audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置是使用auditctl实用程序完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外,还有一个augenrules程序,它读取/etc/audit/rules.d/中的规则,并将它们编译为audit.rules文件。
linux内核裁剪的具体过程和方法
sun13047140038的博客
06-18 4086
一些特性是否编译为模块的原则是,不常使用的,特别是在系统启动时不需要的驱动可以将其编译为模块,如果是一些在系统启动时就要用到的驱动比如说文件系统,系统总线的支持就不要编为模块,否则无法启动系统。一些特性是否编译为模块的原则是,不常使用的,特别是在系统启动时不需要的驱动可以将其编译为模块,如果是一些在系统启动时就要用到的驱动比如说文件系统,系统总线的支持就不要编为模块了,否在无法启动系统。如果你选"Any" ,内核先用 MMCONFIG ,然后 "Direct",最后才是"BIOS"如果前面的都无法工作。
【安全】linux audit审计使用入门
wangluoanquan111的博客
03-22 1516
rules:审计规则,其中配置了审计系统需要审计操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值