linux系统安全审计简单设置

最新推荐文章于 2024-03-22 10:00:00 发布
最新推荐文章于 2024-03-22 10:00:00 发布
阅读量326 收藏 1
点赞数
文章标签: 系统安全 操作系统 数据库
原文链接:http://www.cnblogs.com/dannylinux/p/7978502.html
版权

应用安全-安全审计日志目录  /var/log/audit/audit.log

[root@localhost audit]# cd /etc/audit/
[root@localhost audit]# ls
auditd.conf audit.rules rules.d

添加审计规则

auditctl -w /etc/passwd -p wa

监视/etc/passwd文件被写、修改文件属性的操作,并记录 

auditctl -w /etc/sudoers -p wa

监视/etc/sudoers文件被写、修改文件属性的操作,并记录

auditctl -w /var/lib/mysql -p wa

监视/var/lib/mysql 文件被写、修改文件属性的操作,并记录

auditctl -w /var/log/secure -p wa

监视/var/log/secur 文件被写、修改文件属性的操作,并记录

  

-w 监控文件路径
-p 监控文件筛选 r(读) w(写) x(执行) a(属性改变)

 

审计audit总结

#查看审计规则

#auditctl -l

#添加审计规则

#-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd

#-p : 指定触发审计的文件/目录的访问权限

#-k 给当前这条监控规则起个名字,方便搜索过滤

#rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

#auditctl -w /etc/passwd -p rwxa

 

#查看审计日志

#ausearch -f /etc/passwd

 

#生成简要报告

#aureport

注意:用 auditd 添加审计规则是临时的,立即生效,但是系统重启失效。重启仍然有效,需要在 /etc/audit/audit.rules 文件中添加规则,然后重启服务: 
service auditd restart 或者 service auditd reload

 

转载于:https://www.cnblogs.com/dannylinux/p/7978502.html

自我修炼的小石头
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux审计进程规则,linux audit审计(5)--audit规则配置
weixin_39552538的博客
04-29 1362
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
linux 永久插入规则,linux audit审计(6)--audit永久生效的规则配置
weixin_35217123的博客
05-16 807
定义reboot系统后,仍然生效的审计规则,有两种办法:1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules2、将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin/aug...
Linux审计配置
weixin_34176694的博客
07-03 1133
2019独角兽企业重金招聘Python工程师标准>>> ...
安全linux audit审计使用入门
最新发布
wangluoanquan111的博客
03-22 809
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
linux审计功能及规则 (audit.rule)
winnieFighting
11-28 2095
在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。
linux审计audit可以定义的规则,linux audit审计(5)--audit规则配置
weixin_35900383的博客
05-15 948
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
Linux操作系统安全审计功能-Audit
10-10
Kylin Linux Advanced Server release V10 (Tercel)以RPM包方式安装Auditd,开启审计功能。
Linux操作系统安全(自学).pdf
07-03
Linux系统安全 知识体 知识域 账户安全 知识子域 账户的基本概念 文件系统安全 日志分析 账户风险与安全策略 文件系统的格式 安全访问与权限设置 系统日志的分类 系统日志的审计方法
Linux系统内核级安全审计方法研究.pdf
09-07
Linux系统内核级安全审计方法研究.pdf
linux安全审计扫描工具-Lynis
08-15
下载与安装 命令参数 审计系统的安全态势 使用关键字查询 自定义Lynis文件
Linux操作系统安全配置基线培训.docx
12-16
Linux操作系统安全配置基线培训 本文将介绍Linux操作系统安全配置基线培训中的知识点,涵盖口令管理、认证授权、日志审计等方面的安全配置要求。 一、口令管理 口令管理是Linux操作系统安全配置的重要组成部分。...
Linux系统审计详解
m0_74282605的博客
01-17 1040
ausearch -sv #按syscall的返回值查找(yes/no)ausearch -tm #按连接终端查找(term/ssh/tty)ausearch -w #按在audit rule设定的字符串查找。ausearch -ua #按uid和euid查找。ausearch -ga #按gid和egid查找。ausearch -k #按特定的key值查找。ausearch -ue #按euid查找。ausearch -ge #按egid查找。ausearch -ui #按uid查找。
Linux审计功能
baidu_16824131的专栏
08-08 247
目录 〔1〕简介 〔2〕审计记录日志内容 〔3〕应用 〔4〕审计软件 〔1〕简介 审计基于事先配置的规则生成日志,记录可能发生在系统上的事件 审计不会为系统提供额外的安全保护,但会发现并记录违反安全策略的人及其对应的行为 〔2〕审计记录日志内容 日期,事件,事件结果,用户 所有认证机制的使用,如ssh 对关键数据文件的修改行为等 〔3〕应用 监控系统调用记录 用户运行...
linux安全日志审计设置,Linux安全体系学习笔记
weixin_35547906的博客
05-12 184
最近在读倪继利的《Linux安全体系分析与编程》,想把一些笔记发出来,这是第一篇。Linux的日志系统主要就是syslog系统构架,其实现是内核函数printk将消息写入一个环形缓冲区中,供高层的sys_syslog系统调用读取。代码部分在linux/kernel/printk.cLinux的审核系统提供了一种记录系统安全信息的方法,为系统管理员在用户违反系统安全规则时提供及时的警告信息。内核其他...
linux开启安全审计功能,Linux操作系统安全审计功能
weixin_28819153的博客
05-15 579
内核编译时,一般打开NET选项就打开AUDIT选项了。在系统中查看audit是否打开,root 用户执行:service auditd status我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员工的操作行为就需要开启审计功能,也就是auditd。1、首先执行以下命令开...
linux 开启审计功能及规则配置
m0_74282605的博客
02-09 2233
【推荐阅读】#查询审计功能#审计日志文件目录#编辑审计配置文件加入以下配置规则:#自定义审计规则#重启审计服务#查询审计配置规则。
审计规则配置
weixin_44683938的博客
01-24 2207
groupadd shenjiguanli useradd -g shenjiguanli audit audit 配置文件简介 audit 安装后会生成 2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。首次安装 audit 后, 审计规则文件是空的。 注意: #查看审计规则 #auditctl -l
audit审计监控文件加固常见的服务
weixin_42816196的博客
07-03 1794
审计工具有很多,每个公司都有,有些是自己开发,有些是用开源软件     audit  一但开了是关不了的,是随系统启动的 系统自带软件 最小化安装也会被安装, 除非是kist  %????  什么是auditd? auditd(或 auditd 守护进程)是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。   [root@porxy ~]# rpm -q audi...
/etc/passwd、/etc/shadow、/etc/group详解
awamo26662的博客
07-31 1831
Linux系统中每个用户的信息,包括用户名、密码以及所属组等都会被存储在/etc/passwd文件中。 类似的,/ect/group 文件存放用户组的所有信息。 一、 /etc/passwd 我们可以通过more /etc/passwd 查看该服务器中的用户信息。 root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/...
linux 安全审计 数据保护
11-25
Linux安全审计和数据保护是Linux系统中非常重要的一部分,以下是一些相关的方法和步骤: 1. SELinuxLinux系统中的一个强制访问控制(MAC)系统,它可以限制进程只能访问它被授权的资源。可以通过以下命令来检查...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值