Linux auditd rules generate 通用linux审计规则生成工具DevOps CI/CD持续集成交付 tools

最新推荐文章于 2023-12-28 19:27:08 发布
最新推荐文章于 2023-12-28 19:27:08 发布
阅读量171 收藏
点赞数
文章标签: devops 操作系统 json
原文链接:https://juejin.im/post/5ca85a38e51d4544453ab98d
版权

app name gen-audit-rules

linux generate auditd service rules tools Version 1.0

github.com/iotd/gen-au…

中文文档说明(除基本功能,提供思路实现):
github.com/iotd/gen-au…

简介: audit可以配置规则,此规则主要是给内核模块下发,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。 此工具主要是方便在DevOps开发环境下,针对系统和应用,便捷配置Auditd服务规则,自由灵活实现配置管理。

python module
import os, json, time
复制代码

auditd.conf主配置文件重要规则

# 以MB表示的最大日志文件容量。当达到这个容量时,会执行max_log_file _action指定的动作
# (文件设置过小,会导致生成大量文件,可以设置适当大小)
max_log_file = 6 

# 当达到max_log_file的日志文件大小时采取的动作。值必须是IGNORE、SYSLOG、SUSPEND、ROTATE和KEEP_LOGS之 一。
# IGNORE: 则在日志文件达到max_log_file后不采取动作。
# SYSLOG:则当达到文件容量时会向系统日志/var /log/messages中写入一条警告。
# SUSPEND: 则当达到文件容量后不会向日志文件写入审计消息。
# ROTATE: 则当达 到指定文件容量后会循环日志文件,但是只会保存一定数目的老文件,这个数目由num_logs参数指定。
#         旧文件的文件名将为audit.log.N,其中 N是一个数字。这个数字越大,则文件越老。
# KEEP_LOGS: 则会循环日志文件,但是会忽略num_logs参数,因此不会删除日志文件。
#
# (此配置无需勿动)
max_log_file_action = ROTATE

复制代码

配置规则(无限节点)

# 自定义规则配置参考实例(conf/audit_rules_conf.json):

{
    "web01":{
        "/data/www/web":"-p rwa",
        "/data/www/vendor":"-p rwa"
    },
    "web02":{
        "/data/www/web":"-p rwa",
        "/data/www/vendor":"-p rwa"
    },
    "web03":{
        "/data/www/web":"-p rwa",
        "/data/www/vendor":"-p rwa"
    },
    "web0N":{
        "/data/www/web":"-p rwa",
        "/data/www/vendor":"-p rwa"
    },
    "system":{
        "/etc/passwd":"-k PASSWD",
        "/etc/my.conf":"-k PASSWD"
    },
    ...
}
复制代码

审计规则构成(合并)

1.[系统默认规则]

conf/audit.rules.default

2.[自定义规则,无限节点]

conf/audit_rules_conf.json

# 生成规则实例(rules默认-w)

#### APP NAME Audit Rules Created By DataTime: 2019/01/01 00:00:00 ####

#audit rule block: web
-w /data/www/web -p rwa
-w /data/www/vendor -p rwa

#audit rule block: system
-w /etc/my.conf -k PASSWD
-w /etc/passwd -k PASSWD

复制代码

Built rules file path

gen_audit_rules/audit.rules

centos 6.x path:

/etc/audit/audit.rules

centos 7.x path:

/etc/audit/rules.d/audit.rules

常用命令工具


auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。    
aureport : 查看和生成审计报告的工具。  
ausearch : 查找审计事件的工具。  
auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。  
autrace : 一个用于跟踪进程的命令。  

#conf file:
/etc/audit/auditd.conf : auditd工具的配置文件。  
/etc/audit/audit.rules : 记录审计规则的文件。

复制代码

审计日志格式

time : 审计时间。
name : 审计对象
cwd : 当前路径。
syscall : 相关的系统调用。
auid : 审计用户ID。
uid 和 gid : 访问文件的用户ID和用户组ID。
comm : 用户访问文件的命令。
exe : 上面命令的可执行文件路径。

附Github地址:github.com/iotd/gen-au…

转载于:https://juejin.im/post/5ca85a38e51d4544453ab98d

Linux审计工具auditd使用与日志收集
不以物喜的博客
02-04 1万+
0 概述 Auditd工具可以帮助运维人员审计Linux,分析发生在系统中的发生的事情。Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。 1 安装 Centos7默认已安装Audit 使用命令service auditd status可查看该服务是否开启 2 配置文件 在/etc/audit路径下 auditd.conf文件 ----审计工具的配置文件 audit.rules
Android7.0 JACK编译器不支持多用户同时编译的问题的解决
热门推荐
lizekun2010的博客
09-14 6万+
Android7.0(也就是Android N)上默认使用JACK编译器而不再使用openjdk了,但发现JACK不是很好用,比如最大的一个问题就是,同一台linux服务器上不允许不同用户同时进行andorid7.0的编译,原因就是后面开始编译的用户无法正常启动jack server,而jack server居然不能关闭,虽然JACK文档中有说提供一些宏,只要设置宏为对应的值就可以关闭,但实测发现无效,关闭不了,这个蛋痛的问题,搞了2天,不过总算有方法可以搞定,下面是我对多用户无法同时编译的问题的解决过程。
QT ninja error multiple rules generate
唐装鼠的主页
04-20 3137
错误示例: -- Configuring done -- Generating done CMake Error: Running 'D:/Qt/Tools/Ninja/ninja.exe' '-C' 'D:/code/build-EFR-linux247-Debug' '-t' 'recompact' failed with: ninja: error: build.ninja:1802: multiple rules gener...
linux开启审计进程,系统运维|Auditd-Linux 服务器安全审计工具
weixin_42680139的博客
04-28 2187
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。什么是auditd...
Linux安全监控的哨兵:深入审计系统auditd的应用
07-11
Linux是一种开源的、基于Unix的操作系统内核,由林纳斯·托瓦兹(Linus Torvalds)在1991年首次发布。它遵循自由软件和开源开发的原则,任何人都可以自由地使用、修改和分发Linux内核。Linux内核是操作系统的核心...
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
linux审计进程规则,linux audit审计(5)--audit规则配置
weixin_39552538的博客
04-29 1456
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
Linux操作系统之安全审计功能-Audit
10-10
Linux操作系统在保障系统安全方面扮演着...综上所述,AuditLinux操作系统中不可或缺的安全审计工具。在Kylin Linux V10中,通过RPM包安装并配置Auditd,可以有效地跟踪和记录系统活动,确保系统的安全性和合规性。
linux审计功能及规则audit.rule)
winnieFighting
11-28 3602
在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。
audit审计规则配置方法
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
linux不同用户同时编译报错,Android7.0 配置JACK支持多用户同时编译
weixin_33219360的博客
05-07 685
# Android7.0 配置JACK支持多用户同时编译reference:背景需要在一个Android7平台上进行有关的工作,但是编译的时候发现有问题。记录一下。因为和同事共用一台服务器,因为他的编译没问题;而我的编译没成功。在网上收集了各方的资料,再结合自己的经验,终于解决了这个问题。介绍Android7.0(也就是Android N)以上默认使用JACK编译器而不再使用openjdk了。&g...
Linux安全之auditd审计工具使用说明
月生的静心苑
11-28 7581
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
机器学习实战之Apriori
小猪真的真的真的要减肥了
04-21 3251
1. 关联分析 1.1 定义        关联分析是一种在大规模数据上寻找物品间隐含关系的一种任务.这种关系有2种形式:频繁项集和关联规则.         (1) 频繁项集(frequent item sets): 经常出现在一起的物品的集合;         (2) 关联规则(association rules): 暗示两种物品之间可能存在很强的关系. 1.2 量化关联分析是否成功
Apriori算法原理
weixin_56273009的博客
05-28 2299
实验环境 python 3.6.5 jupyter 【原理】Apriori算法原理 Apriori算法是一种用于关联规则挖掘的代表性算法。从本节开始,我们已经进入了机器学习和数据挖掘相交叉的地带。 数据挖掘与机器学习 数据挖掘和机器学习的关系就好比,机器学习是数据挖掘的弹药库中一类相当庞大的弹药集。既然是一类弹药,其实也就是在说数据挖掘中肯定还有其他非机器学习范畴的技术存在。Apriori算法就属于一种非机器学习的数据挖掘技术。 在非机器学习的数据挖掘技术中,我们并不会去建立
Apriori代码分析
qq_60313016的博客
12-28 870
直到长度之比后者小1为止,也就是rulesFromConseq方法中调用calcConf方法要先调用Hmp1 = aprioriGen(H, m + 1),将1增长为下一个频繁子集(1,2),然后再计算(1,2)--> (3)的置信度,比较,如果大于阈值则加入,进行下一轮。也会有{牛奶,啤酒} --> {尿布, 矿泉水},{牛奶,矿泉水,} --> {啤酒,尿布} 等等可能性。还有 {牛奶} --> {啤酒,尿布,矿泉水}, {啤酒} --> {牛奶,尿布,矿泉水}等等可能性。
11使用Apriori算法进行关联分析
yiluohan0307的专栏
04-18 5200
第11章 使用Apriori算法进行关联分析 一、背景 在超市中,实际上包含了许多机器学习的应用,包括超市物品的展示方式、摆放位置、购物之后优惠券的提供以及用户的忠诚度计划等。他们都离不开数据的分析。 本文介绍关联分析,即从大规模数据集中寻找物品间的隐含关系。 最著名的一个例子:啤酒与尿布的例子 关联分析中最有名的例子是“尿布与啤酒”。据报道,美国中西部的一家连锁店发现,男人们会在周四购买尿布和...
Linux安全基线-审计配置9小项
bigwood99的博客
09-30 1722
监视sudo日志文件。如果系统已正确配置为禁用该su命令,并强制所有管理员必须先登录然后sudo才能执行特权命令,则所有管理员命令都将登录到/var/log/sudo.log。该文件/var/log/lastlog保留用户最后一次成功登录的记录。该文件/etc/sudoers被写入或其属性已更改为。该文件/var/run/utmp跟踪所有当前登录的用户。/var/log/wtmp文件跟踪登录,注销,关闭和重新启动事件。将以下行添加到/etc/audit/rules.d/audit.rules文件末尾。
linux系统如果和增加对/etc/passwd 和/ect/shadow文件的审计规则
最新发布
09-25
通过修改`/etc/audit/audit.rules`文件,添加针对这两个文件的读、写操作的审计规则。 ```bash -w /etc/shadow -p wa -k shadow-audit ``` 这里`-w`表示watch目录,`-p`指明权限,`wa`表示write access(写入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值