本文详细介绍了Linux审计系统audit的规则配置,包括控制规则、文件系统规则和系统调用规则的设置方法。通过auditctl命令,可以实现对内核审计行为的控制,如审计缓冲区大小、错误处理方式及系统使能状态。同时,文章演示了如何监控文件和路径的读写执行、系统调用以及如何创建永久生效的审计规则。此外,还提及了audit对系统性能的影响和日志管理。
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。
规则类型可分为:
1、控制规则:控制audit系统的规则;
2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。
3、系统调用规则:可以记录特定程序的系统调用。
audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后就不存在了。可以通过配置/etc/audit/audit.rules文件,当每次audit服务启动后,都会从这个文件来加载规则。
auditctl,这个命令可以配置audit规则,audit根据这些规则来决定哪些事件会被记录。The auditctl program is used to control the behavior, get status, and add or delete rules into the 2.6 kernel's audit system.
控制规则:
-b 设置在内核中audit缓冲空间的最大值。
-f 这个选项来决定内核如何处理critical erros:0=silent 1=printk 2=panic.默认值为1。
-e 设置使能标志,设置为0,为关闭了audit,设置为1,则开启audit;当设置为2时,表示锁定,一般在设置完其他规则后最后设置,防止其他人修改规则;任何修改规则的行为都会被拒绝,并且记录审计日志,只有当重启系统后ÿ
最低0.47元/天 解锁文章
扫一扫
2119
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
