linux审计audit可以定义的规则,linux audit审计(5)--audit规则配置

最新推荐文章于 2024-03-22 10:00:00 发布
最新推荐文章于 2024-03-22 10:00:00 发布
阅读量948 收藏 3
点赞数
文章标签: linux审计audit可以定义的规则

audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。

规则类型可分为:

1、控制规则:控制audit系统的规则;

2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。

3、系统调用规则:可以记录特定程序的系统调用。

audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后就不存在了。可以通过配置/etc/audit/audit.rules文件,当每次audit服务启动后,都会从这个文件来加载规则。

auditctl,这个命令可以配置audit规则,audit根据这些规则来决定哪些事件会被记录。The auditctl program is used to control the behavior, get status, and add or delete rules into the 2.6 kernel‘s audit system.

控制规则:

-b  设置在内核中audit缓冲空间的最大值。

-f   这个选项来决定内核如何处理critical erros:0=silent 1=printk 2=panic.默认值为1。

-e  设置使能标志,设置为0,为关闭了audit,设置为1,则开启audit;当设置为2时,表示锁定,一般在设置完其他规则后最后设置,防止其他人修改规则;任何修改规则的行为都会被拒绝,并且记录审计日志,只有当重启系统后,这个使能标志才可以被修改。

-s 查询audit内核状态。如:

linux-xdYUnA:/var/log/audit # auditctl -s

enabled1failure1pid27106rate_limit0backlog_limit8192lost106978588backlog0

-l  列出所有当前配置的规则。

-D 删除所有当前加载的规则。

定义文件系统规则:

auditctl -w path_to_file -p permissions -k key_name

path_to_file为要做审计的文件或路径;

permissions为要记录的许可:rwx 文件或路径的读写执行,a 修改文件或路径的属性。

r — read access to a fileor a directory.w — write access to a fileor a directory.

x — execute access to afileor a directory.

a — changein the file‘s or directory‘s attribute.

key_name为一个可选字符串,明确哪些规则产生的这些日志。过滤时可以使用。

如下举例:

定义规则,记录所有对/etc/passwd文件的写入以及属性修改,可以输入如下命令:

~]# auditctl -w /etc/passwd -p wa -k passwd_changes

记录所有对/etc/selinux/目录的写入以及属性修改,可以输入如下命令:

~]# auditctl -w /etc/selinux/ -p wa -k selinux_changes

记录所有执行了/sbin/insmod命令,向内核插入模块的行为,输入如下命令:

~]# auditctl -w /sbin/insmod -p x -k module_insertion

定义系统调用规则:

auditctl -a action,filter -S system_call -F field=value -k key_name

action和filter明确一个事件被记录。action可以为always或者never,filter明确出对应的匹配过滤,filter可以为:task,exit,user,exclude。

system_call明确出系统调用的名字,几个系统调用可以写在一个规则里,如-S xxx -S xxx。系统调用的名字可以在/usr/include/asm/unistd_64.h文件中找到。

field=value作为附加选项,修改规则以匹配特定架构、GroupID,ProcessID等的事件。具体有哪些字段,可以参考man linux  https://linux.die.net/man/8/auditctl

例如:

定义一个规则,当每次使用系统调用adjtimex或者settimeofday时,并且为64位架构,记录审计日志,命令可以输入如下:

~]# auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change

一个文件被user ID为1000或者更大的用户删除,或重命名,记录审计,命令如下:

~]# auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete

注意,-F auid!=4294967295 这个是为了排除login UID没有被设置的用户。

也可以通过系统调用规则,来定义文件系统规则,如下的系统调用规则,与-w /etc/shadow -p wa的文件系统规则等同:

~]# auditctl -a always,exit -F path=/etc/shadow -F perm=wa

不刷知乎
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux审计进程规则,linux audit审计(5)--audit规则配置
weixin_39552538的博客
04-29 1362
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
audit.rules
weixin_33853827的博客
09-29 135
为防止audit在不同系统上的不同,还是介绍下环境 centos 6.3 x64 直奔主题,审计系统是什么、重要性略!   auditlinux内核的特性,可以通过内核参数audit=1来启用。   /etc/audit/audit.rules是audit规则文件,本文主要讲述如何利用audit来监视系统重要资源。   一、监控文件系统行为(依靠文件、目录的权限属性来识别) 规...
【安全】linux audit审计使用入门
最新发布
wangluoanquan111的博客
03-22 805
rules:审计规则,其中配置审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
linux审计功能及规则audit.rule)
winnieFighting
11-28 2088
在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置规则。 使用配置文件配置,需...
5.3.3 审核(audit规则
VMA_LMA的专栏
06-23 1737
http://www.startos.com/zhuanti/zt02/2010/1122/10829.html 5.3.3 审核(audit)规则   SELinux有大量的工具记录日志信息,或审核、访问尝试被策略允许或拒绝的信息。审核消息通常叫做"AVC消息",它提供了详细了关于访问尝试的信息,包括是允许还是拒绝,源和目标的安全上下文,以及其它一些访问尝试涉及到资源信息。AVC
audit-plugin-mysql-5.7-1.1.7 for Linux
06-12
mysql 5.7安全审计插件 Linux X86-X64通用...audit-plugin-mysql-5.7-1.1.7 for Linux 等保开启审计插件,貌似官网找不到,发出来共享. 缺点:日志信息比较大,对性能影响大。 优点:对每一时刻每一用户的操作都有记录。
audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64
04-09
mysql 5.7社区版安全审计插件 audit-plugin-mys mysql5.7社区版安全审计 安全审计插件 mysql审计插件 审计插件
audit-3.0-5.se.07.ky10.aarch64.rpm
06-07
audit-3.0-5.se.07.ky10.aarch64.rpm升级包
Audit-审计工具箱.exe
04-22
create a shake-up in mobile phone operating systems with the launch of its Android platform. Designed to be completely open and free for developers, the API could change the way mo
audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64.zip
04-25
mysql 5.7社区版安全审计插件audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64.zip
linux audit审计服务audit.rules策略参数
a063225的博客
11-03 4222
auditlinux内核的特性,可以通过内核参数audit=1来启用。 /etc/audit/audit.rules是audit规则文件,本文主要讲述如何利用audit来监视系统重要资源。 一、监控文件系统行为(依靠文件、目录的权限属性来识别) 规则格式:-w 路径 -p 权限 -k 关键字 其中权限动作分为四种 r 读取文件 w 写入文件 x 执行文件 a 修改文件属性 示例,监控/etc/passwd文件的修改行为(写,权限修改) -w /etc/passwd -p wa 将上述内容加入到audi
linux 永久插入规则,linux audit审计(6)--audit永久生效的规则配置
weixin_35217123的博客
05-16 807
定义reboot系统后,仍然生效的审计规则,有两种办法:1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules2、将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin/aug...
Linux系统审计详解
m0_74282605的博客
01-17 1039
ausearch -sv #按syscall的返回值查找(yes/no)ausearch -tm #按连接终端查找(term/ssh/tty)ausearch -w #按在audit rule设定的字符串查找。ausearch -ua #按uid和euid查找。ausearch -ga #按gid和egid查找。ausearch -k #按特定的key值查找。ausearch -ue #按euid查找。ausearch -ge #按egid查找。ausearch -ui #按uid查找。
Linux安全基线-audit审计规则配置7小项(CentOS8)
bigwood99的博客
09-30 1368
监视与文件和文件属性的删除或重命名关联的系统调用的使用。此配置语句设置对unlink(删除文件),unlinkat(删除文件属性),rename(重命名文件)和renameat(重命名文件属性)系统调用的监视,并使用标识符“delete”对其进行标记。以下参数监视sethostname(设置系统主机名)或setdomainname(设置系统域名)系统调用,并在系统调用出口上写入审核事件。并且将审核记录写入文件/var/log/audit.log,并用标识符“ time-change”标记记录。
Linux审计功能
baidu_16824131的专栏
08-08 247
目录 〔1〕简介 〔2〕审计记录日志内容 〔3〕应用 〔4〕审计软件 〔1〕简介 审计基于事先配置规则生成日志,记录可能发生在系统上的事件 审计不会为系统提供额外的安全保护,但会发现并记录违反安全策略的人及其对应的行为 〔2〕审计记录日志内容 日期,事件,事件结果,用户 所有认证机制的使用,如ssh 对关键数据文件的修改行为等 〔3〕应用 监控系统调用记录 用户运行...
linux系统安全审计简单设置
weixin_30530939的博客
12-04 326
应用安全-安全审计日志目录 /var/log/audit/audit.log [root@localhost audit]# cd /etc/audit/[root@localhost audit]# lsauditd.conf audit.rules rules.d 添加审计规则 auditctl -w /etc/passwd -p wa 监视/etc/passwd文件被写、修改文...
audit.rules配置审计规则
11-24
audit.rules是Linux系统中用来配置审计规则的文件。审计规则用于定义需要被系统审计的操作和事件,以便跟踪和监控系统的安全性。 在audit.rules中,可以设置诸如文件访问、用户登录、系统调用、进程创建等各种类型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值