本文介绍了Linux audit子系统,用于记录系统调用和文件访问的安全服务。审计日志有助于在系统受到攻击后追踪入侵者。文章涵盖了audit的安装启动、配置选项、审计工具如auditctl、aureport和ausearch的使用,以及如何分析和转换audit.log的时间戳。重点讨论了audit的配置文件auditd.conf和audit.rules,以及如何制定审计规则来监控特定系统活动。
0×00:
最近工作中学习了一个比较实用的系统服务:audit。下面进行一些使用介绍。
audit 是Linux audit Subsystem 的简称。这一服务的主要作用是记录系统调用和文件访问。auditd 是audit 系统的守护进程,作用是将audit 记录的信息写到磁盘上。合理配置audit 日志审计规则,对安全运维大有帮助。当系统被入侵后,可以通过查看audit.log 追根溯源,找到系统的漏洞所在。
0×01:audit安装及启动
debian apt-get install auditd
centOS yum install audit
源码下载: http://people.redhat.com/sgrubb/audit/
启动服务:root@kali:~# service auditd start
服务启动后,/var/log/audit 目录被创建,并生成audit.log 。为了安全,此目录只对root 用户可读。
进入audit 日志目录,可以看到一条DAEMON_START ,记录了audit服务启动信息:
root@kali:/var/log/audit# cat audit.log
type=DAEMON_START msg=audit(1413124246.270:9427): auditd start, ver=1.7.18 format=raw kernel=3.12-kali1-amd64 auid=0 pid=1986 res=success
type=CONFIG_CHANGE msg=audit(1413124246.374:2): audit_backlog_limit=320 old=64 auid=0 ses=3 res=1
audit 默认含有若干管理工具,常用的有下面三个:
auditctl:控制audit系统,它控制着生成日志的各种变量,以及内核审计的各种接口,还有决定跟踪哪些事件的规则。
aureport:能够从审计日志里面提取并产生一个个性化的报告,这些日志报告很容易被脚本化,并能应用于各种应用程序之中。
ausearch:用于查询审计后台的日志,它能基于不同搜索规则的事件查询审计日志。
个人认为ausearch 比较实用,后面有使用介绍。
0×02:audit 配置
audit安装后,会生成2个文件:
/etc/audit/audit.conf 守护程序的默认配置文件
/etc/audit/audit.rules 守护程序默认的规则文件
auditd.conf 的配置需要根据实际情况,一般使用默认配置即可,学习每个配置参数的含义可以:
#man auditd.conf
我系统中的默认配置:#
# This file controls the configuration of the audit daemon
#
log_fil
最低0.47元/天 解锁文章
扫一扫
1010
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
