linux创建特殊文件rules,Linux auditd rules generate 通用linux审计规则生成工具DevOps CI/CD持续集成交付 tools...

最新推荐文章于 2024-05-06 12:25:21 发布
最新推荐文章于 2024-05-06 12:25:21 发布
阅读量190 收藏 1
点赞数
文章标签: linux创建特殊文件rules

app name gen-audit-rules

linux generate auditd service rules tools Version 1.0

简介: audit可以配置规则,此规则主要是给内核模块下发,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。

此工具主要是方便在DevOps开发环境下,针对系统和应用,便捷配置Auditd服务规则,自由灵活实现配置管理。

python module

import os, json, time

auditd.conf主配置文件重要规则

# 以MB表示的最大日志文件容量。当达到这个容量时,会执行max_log_file _action指定的动作

# (文件设置过小,会导致生成大量文件,可以设置适当大小)

max_log_file = 6

# 当达到max_log_file的日志文件大小时采取的动作。值必须是IGNORE、SYSLOG、SUSPEND、ROTATE和KEEP_LOGS之 一。

# IGNORE: 则在日志文件达到max_log_file后不采取动作。

# SYSLOG:则当达到文件容量时会向系统日志/var /log/messages中写入一条警告。

# SUSPEND: 则当达到文件容量后不会向日志文件写入审计消息。

# ROTATE: 则当达 到指定文件容量后会循环日志文件,但是只会保存一定数目的老文件,这个数目由num_logs参数指定。

# 旧文件的文件名将为audit.log.N,其中 N是一个数字。这个数字越大,则文件越老。

# KEEP_LOGS: 则会循环日志文件,但是会忽略num_logs参数,因此不会删除日志文件。

#

# (此配置无需勿动)

max_log_file_action = ROTATE

配置规则(无限节点)

# 自定义规则配置参考实例(conf/audit_rules_conf.json):

{

"web01":{

"/data/www/web":"-p rwa",

"/data/www/vendor":"-p rwa"

},

"web02":{

"/data/www/web":"-p rwa",

"/data/www/vendor":"-p rwa"

},

"web03":{

"/data/www/web":"-p rwa",

"/data/www/vendor":"-p rwa"

},

"web0N":{

"/data/www/web":"-p rwa",

"/data/www/vendor":"-p rwa"

},

"system":{

"/etc/passwd":"-k PASSWD",

"/etc/my.conf":"-k PASSWD"

},

...

}

审计规则构成(合并)

1.[系统默认规则]

conf/audit.rules.default

2.[自定义规则,无限节点]

conf/audit_rules_conf.json

# 生成规则实例(rules默认-w)

#### APP NAME Audit Rules Created By DataTime: 2019/01/01 00:00:00 ####

#audit rule block: web

-w /data/www/web -p rwa

-w /data/www/vendor -p rwa

#audit rule block: system

-w /etc/my.conf -k PASSWD

-w /etc/passwd -k PASSWD

Built rules file path

gen_audit_rules/audit.rules

centos 6.x path:

/etc/audit/audit.rules

centos 7.x path:

/etc/audit/rules.d/audit.rules

常用命令工具

auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。

aureport : 查看和生成审计报告的工具。

ausearch : 查找审计事件的工具。

auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。

autrace : 一个用于跟踪进程的命令。

#conf file:

/etc/audit/auditd.conf : auditd工具的配置文件。

/etc/audit/audit.rules : 记录审计规则的文件。

审计日志格式

time : 审计时间。

name : 审计对象

cwd : 当前路径。

syscall : 相关的系统调用。

auid : 审计用户ID。

uid 和 gid : 访问文件的用户ID和用户组ID。

comm : 用户访问文件的命令。

exe : 上面命令的可执行文件路径。

想法臃肿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux】编写COM口和USB口的规则文件(.rules)
师兄怎么办
09-20 2015
当外接存储设备(如:U盘、机械硬盘等)时,由于路径/dev下并没有存储新设备的设备节点、规则文件等,udev会给新的存储设备按照内核的分配规则分配设备节点诸如:/dev/sda(如U盘)、/dev/sdb(如机械硬盘)等临时设备节点,这些临时设备节点是按照外接设备的插入顺序决定的,也就是说下次如果是先插机械硬盘、再插U盘就可能会分配临时名字:/dev/sdb(如U盘)、/dev/sda(如机械硬盘),又或者是其他诸如/dev/sdc、/dev/sda2等等。
linux创建特殊文件rules,RHEL5 Oracle Linux 5上生成正确的udev rule 规则文件
weixin_39614109的博客
04-28 258
《RHEL5 Oracle Linux 5上生成正确的udev rule 规则文件》由会员分享,可在线阅读,更多相关《RHEL5 Oracle Linux 5上生成正确的udev rule 规则文件(2页珍藏版)》请在人人文库网上搜索。1、RHEL5 Oracle Linux 5上生成正确的udev rule 规则文件1.确认在所有RAC节点上已经安装了必要的UDEV包rootrh2 # rpm ...
深入理解 Linux 文件系统与日志分析
最新发布
2401_83958584的博客
05-06 833
件系统,然后使用“extundelete /dev/sdb1 --restore-all"恢复/dev/sdb1 文件系统下的所有内容。也可以使用“extundelete /dev/sdb1 --inode 2”查看文件系统/dev/sdb1 下存在哪些文件,xfsdump 是透过文件系统的 UUID 来分辨各个备份档的,因此不能备份两个具有相同UUID 的文件系统。名为“索引节点”,也叫 i 节点。使用"rm -rf a b"命令删除/tmp/下的 a 文件和 b 文件,当出现误操作时,立刻卸载该文。
linux创建特殊文件rules,在RHEL5_Oracle_Linux_5上生成正确的udev_rule_规则文件
weixin_39988677的博客
04-28 338
1.确认在所有RAC节点上已经安装了必要的UDEV包[root@rh2 ~]# rpm -qa|grep udevudev-095-14.21.el52.通过scsi_id获取设备的块设备的唯一标识名,假设系统上已有LUN sdc-sdpfor i in c d e f g h i j k l m n o p ;doecho "sd$i" "`scsi_id -g -u -s /block/sd$...
linux日志管理总结,rules详解、轮转详解、实例展示。
ayychiguoguo的博客
01-05 1298
​ 把旧的日志文件移动并改名,同时建立新的空日志文件,当旧日志文件超出保存的范围之后,就会进行删除。
Linux 系统添加操作记录审计
chuanlixian7372的博客
08-04 98
1. mkdir -p /usr/local/domob/records/ //创建一个记录的目录 chmod 777 /usr/local/domob/records/ //授权 chmod +t /usr/l...
10.5: 系统审计 、 服务安全 、 服务安全 、 Linux安全之打补丁 、 总结和答疑.docx
03-05
Audit 是一个强大的审计工具,可以记录系统上的所有活动,包括文件的访问、进程的执行、用户的登录等。通过 Audit,我们可以实时监控系统上的活动,从而快速响应安全事件,保护系统的安全。 在本案例中,我们将...
Linux 监控文件被什么进程修改(详解)
01-10
安装: apt-get install auditd. 1.auditd 是后台守护进程,负责监控记录 2.auditctl 配置规则工具 3.auditsearch 搜索查看 4.aureport 根据监控记录生成报表 比如,监控 /root/.ssh/authorized_keys 文件是否被...
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
Linux操作系统之安全审计功能-Audit
10-10
Kylin Linux Advanced Server release V10 (Tercel)以RPM包方式安装Auditd,开启审计功能。
Linux虚拟机的安全审计-bruce1
08-08
文件和目录审计配置:执行命令安装Audit软件包:# yum install audit启动auditd服务:# service auditd start添加a
linux新手入门教程
吴成伟的博客
06-18 553
移动文件/文件夹:mv 源文件或目录 目标文件或目录 2.1关闭防火墙 2.2关闭sshd服务的DNS以加快SSH登陆速度 2.3时间同步
【肥海豹】-网络安全等级保护(等保)-LINUX类服务器配置
FAT_SEAL的博客
08-07 3424
本文为个人总结,欢迎交流指正,集思广益,发现错误或其他配置方案会进行更新。(三级系统要求,以CentOS系统为例,不同版本可能有配置区别) 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1. 要求登录服务器的用户具有独立的身份标识(用户名),并需要采用身份鉴别措施(例如使用用户名+密码进行登录); 2. 要求服务器中不存在同名用户(服务器自身无法创建同名用户); 3. 要求从服务器策略上对密码复杂度进行限制,策略配置方法:...
linux rules.d文件
studyvcmfc的专栏
10-25 2606
https://zhidao.baidu.com/question/242850715703199684.html
linux查看数据积压,对 EC2 Linux 实例上的审计积压错误进行排查
weixin_39778668的博客
05-12 915
为什么我在 EC2 Linux 实例的屏幕截图和系统日志中看到“审计:超出积压限制”错误,我该如何避免这种情况?上次更新时间:2020 年 9 月 18 日我在 Amazon Elastic Compute Cloud (Amazon EC2) Linux 实例的屏幕截图和系统日志中看到“已阻止审计回调”和“审计:超出积压限制”错误消息。为什么我会收到这些消息,以及如何防止它们再次发生?简短描述L...
Linux 万能的android.rules文件 解决 adb devices no permissions
Jejay的专栏
03-25 3377
1、编辑 xx-android.rules 命令: sudo vim /etc/udev/rules.d/51-android.rules 51 这个 数字根据不同电脑可能不一样 a、加入以下内容: SUBSYSTEM=="usb" ENV{DEVTYPE}=="usb_device", MODE="0666" # adb protocol on passion (Nexus O
Linux udev规则编写
热门推荐
小伙的博客
06-17 1万+
编写本文的目的:      看完本章,朋友们可以进行随心所欲的运用udev,编写udev规则,更好的管理Linux设备。例如,把硬盘sda根据盘的SN码生成一个软连接,使得SN码当做sda一样使用。 在文章结束后,既可以有方案可以实现。 udev是什么?           udev 是 Linux2.6 内核里的一个功能,它替代了原来的 devfs,成为当前 Linux 默认的设
linux配置裸设备
weixin_33860553的博客
07-03 476
1、什么裸设备?字符设备?块设备? 裸设备:也叫裸分区(原始分区),是一种没有经过格式化,不被Unix/Linux通过文件系统来读取的特殊字符设备。它由应用程序负责对它进行读写操作。不经过文件系统的缓冲。裸设备可以绑定一个分区,也可以绑定一个磁盘。 字符设备:对字符设备的读写不需要通过OS的buffer。它不可被文件系统mount。 块设备:对块设备的读写需要通过OS的buffer,它可以被m...
linux串口创建rules,避免每次串口号不一样
知难行更难
03-15 1429
一个串口模块插入linux电脑后,为了通信,需要先查看串口号(ls /dev/ttyUSB),然后为了使用还需要给与权限(sudo chmod 777 /dev/ttyUSB*),而且是每次都需要如此操作,十分麻烦。 因此创建一个规则,使得该串口模块插入后自动将串口号映射为指定名称,并自动给予指定权限。 创建文件(如名称为a.rules),内容参考如下 KERNEL=="ttyUSB*", ATTRS{idVendor}=="0403", ATTRS{idProduct}=="6001", MODE:
linux 环境下 如何监控用户新增 使用 /var/log/auth.log的方式
06-13
`auditd` 是 Linux 中的一个审计守护进程,可以通过配置规则来监控系统中的各种事件,并将事件记录到日志文件中。 下面是使用 `auditd` 监控用户新增的具体步骤: 1. 安装 `auditd` 工具。在 Debian/Ubuntu 系统中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值