Linux安全审计功能的实现——audit详解

最新推荐文章于 2024-06-01 10:30:00 发布
最新推荐文章于 2024-06-01 10:30:00 发布
阅读量1.7w 收藏 24
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012759006/article/details/89670958
版权

1、安装:

centos默认安装,Ubuntu:sudo apt-get install auditd

2、开启auditd服务:

service auditd start

3、查看当前auditd服务状态:

service auditd status

auditctl -s

4、重启auditd服务:

service auditd restart  或  service auditd reload

5、自定义对指定文件或目录进行监视:

(1)命令行语法(暂时生效,系统重启后失效):

auditctl -h   查看auditctl命令使用规则,如下:

常用监视指令示例:

auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
-k 给当前这条监控规则起个名字,方便搜索过滤
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

(2)修改配置文件:

auditd的配置文件为/etc/audit/audit下的auditd.co

最低0.47元/天 解锁文章
yjyn1
关注
  • 4
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
linux开启安全审计功能,Linux操作系统之安全审计功能
weixin_39649478的博客
05-15 1941
内核编译时,一般打开NET选项就打开AUDIT选项了。在系统中查看audit是否打开,root 用户执行:service auditd status我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员工的操作行为就需要开启审计功能,也就是auditd。1、首先执行以下命令开...
linux内核监听文件变化,使用auditd监控Linux的文件变化
weixin_30738065的博客
04-30 547
如果没有auditd的话,使用yum安装安装即可以linux监控/tmp/xxx.dat为例:#vi/etc/audit/audit.rules#whenevertheauditdaemonisstartedviatheinitscripts.#Therulesaresimplytheparametersthatwouldbepassed#toaudi...
安全linux audit审计使用入门
最新发布
qq_44005305的博客
06-01 827
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
审计 Linux 系统的操作行为的 5 种方案对比
skydust1979的博客
11-20 304
很多时候我们为了安全审计或者故障跟踪排错,可能会记录分析主机系统的操作行为。比如在系统中新增了一个用户,修改了一个文件名,或者执行了一些命令等等,理论上记录的越详细, 越有利于审计和排错的目的。不过过剩的记录也会为分析带来不少麻烦, 尤其是将很多主机的记录行为发送到固定的远程主机中,数据越多,分析的成本便越大。 实际上,绝大多数的系统行为都是重复多余的,比如 cron 任务计划,我们信任的程序等, 这些都会产生大量的记录,但很少用于审计分析。基于这个需求,我们在审计系统操作行为的时候,至少应该添加一些过滤
Linux安全审计audit安装与使用
NetRookieX的博客
05-26 8632
场景 安全最重要的一步是内部安全,如何监控用户的行为是一个永恒不变的话题。 audit可以详细监控用户的行为,详细到查看或修改了某个文件。这些都可以在日志中查看到。 安装 小贴士: CentOS默认已经安装 yum -y install audit* 开启audit服务 service auditd start #开启 service auditd stop #关闭 service...
Linux审计audit工具的用法,配置审计过程与阅读审计内容
ck784101777的博客
02-03 3384
一、Linux审计功能 1.什么是审计 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。 2.审计能够记录到日志的内容 -事件发生的日期和结果,触发事件的用户 -远程连接记录,如访问ssh,ftp -对标记目录或文件的修改行为 -监控调用的系统资源 -记...
Auditd-Linux安全审计工具
weixin_33755847的博客
09-19 287
介绍 Auditd工具可以帮助运维人员审计Linux。 安装 $ apt-get install auditd 工具 auditd拥有一系列的工具 /etc/audit/rules.d/audit.rules:包含审核规则的文件 aureport:生成和查看审计规则的文件 ausearch:是一个搜索各种事件的工具 autrce:用于跟...
Linux操作系统之安全审计功能-Audit
10-10
Linux操作系统在保障系统安全方面扮演着重要角色,而Audit系统则是Linux中用于实现安全审计的核心组件。本文将深入探讨Linux中的Audit功能,特别是在Kylin Linux Advanced Server release V10 (Tercel)环境下如何...
linux安全审计扫描工具-Lynis
08-15
总的来说,Lynis作为一款强大的Linux安全审计工具,通过其丰富的功能和高度可定制性,为维护和提升Linux系统的安全性提供了有力的支持。无论是进行常规的安全检查还是应对特定的安全挑战,Lynis都能成为管理员们的...
Linux审计功能(Audit).pdf
09-30
Linux审计功能(Audit).pdf
Linux虚拟机的安全审计-bruce1
08-08
首先,我们要了解Linux安全审计系统的核心组件——`auditd`服务。`auditd`是Linux内核审计子系统的用户空间守护进程,负责收集、过滤和存储系统的审计事件。通过审计,我们可以追踪到系统中关键文件和目录的变更,...
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
audit 审计
系统运维
12-31 501
audit子系统提供了一种纪录系统安全方面信息的方法,同时能为系统管理员在用户违反系统安全法则或存在违反的潜在可能时,提供及时的警告信息,这些audit子系统所搜集的信息包括:可被审计的事件名称,事件状态(成功或失败),别的安全相关的信息。 可被审计的事件,通常,这些事件都是定义在系统调用级别的。 脚本/APPS - 命令 - 函数(库) - System Call (系统调用) ...
linux审计功能
lishenglong666的专栏
12-16 3728
linux审计功能audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
linux桌面安全审计,Linux安全审计功能实现——audit详解
weixin_33803878的博客
05-05 850
1、安装:centos默认安装,Ubuntu:sudo apt-get install auditd2、开启auditd服务:service auditd start3、查看当前auditd服务状态:service auditd statusauditctl -s4、重启auditd服务:service auditd restart 或 service auditd reload5、自定义对指...
centos7设置rsyslog日志服务集中服务器
reblue520的专栏
07-19 892
centos7设置rsyslog日志服务集中服务器 环境:centos6.9_x86_64,自带的rsyslog版本是7.4.7,很多配置都不支持,于是进行升级后配置 # 安装新版本的rsyslog程序wget http://rpms.adiscon.com/v8-stable/rsyslog.repomv rsyslog.repo /etc/yum.repos.d/rsyslog.repoy...
53命令使用_SELinux auditd日志使用方法详解
weixin_30458701的博客
01-05 429
auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。这个文件中记录的信息会非常多,如果手工查看,则效率将非常低下。比如笔者的 Linux 中这个日志的大小就有 386KB。[root@localhost ~]# ll -h /var/log/audit/audit.log-rw-------.1 root root 386K 6月...
Audit注解拦截器,用于自动记录日志
热门推荐
236004的博客
08-14 1万+
import java.io.Serializable; import java.lang.annotation.Annotation; import java.lang.reflect.Array; import java.lang.reflect.Method; import java.util.ArrayList; import java.util.Date; import java.uti

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值