linux内核audit,linux中audit审计服务

最新推荐文章于 2024-03-22 10:00:00 发布
最新推荐文章于 2024-03-22 10:00:00 发布
阅读量271 收藏
点赞数
文章标签: linux内核audit

linux中audit审计服务

Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。

Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明:

auditctl : 即时控制审计守护进程的行为的工具,如添加规则等。

auditd :audit 守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。用户空间审计系统通过 auditd 后台进程接收内核审计系统传送来的审计信息,将信息写入到 /var/log/audit/audit.log。

aureport : 查看和生成审计报告的工具。

ausearch : 查找审计事件的工具

auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。

autrace : 一个用于跟踪进程的命令。类似于 strace,跟踪某一个进程,并将跟踪的结果写入日志文件之中。

2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。

常用命令

1,生成审计报告

aureport

常用的两个选项:

-l 报告登录信息

-m 报告账户修改信息

不加选项,生产汇总报表。

其他详见帮助文档。

日志文件路径

/var/log/audit/audit.log

个人认为配合aide使用效果更佳。

分享到:

weixin_39787826
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
audit-userspace:Linux审计用户空间存储库
02-05
在深入探讨"audit-userspace:Linux审计用户空间存储库"之前,我们首先需要理解Linux审计系统的基础知识。Linux审计系统是一个强大的工具,用于记录系统活动,它提供了一种机制来跟踪和记录系统的关键事件,包括...
Linux虚拟机的安全审计-bruce1
08-08
`auditd`是Linux内核审计子系统的用户空间守护进程,负责收集、过滤和存储系统的审计事件。通过审计,我们可以追踪到系统关键文件和目录的变更,以便在发生异常时迅速定位问题源头。 在CentOS 7.3环境下,安装`...
Linux内核安全审计模块的研究及实现.pdf
09-06
Linux内核安全审计模块的研究及实现.pdf
深入了解Linux审计子系统(一)--概述
宁静致远
04-28 722
Linux平台的审计系统对于普通用户来说可能比较陌生,但对于从事信息安全或系统安全的人来说是很重要的,它就像一套监控系统一样,可以记录下操作系统的每一个过程,例如用户的操作,文件的修改,系统的启动和异常以及网络活动等,这些记录都可以让你知道系统发生过什么,可以进一步了解系统安全漏洞所在,是提高系统安全性的有效支持。 审计子系统产生的背景 在早期的Linux操作系统只有syslo...
linux内核审计测试,Linux安全审计工具Lynis的使用
weixin_31833307的博客
04-30 167
介绍Lynis是基于UNIX的系统的安全审计,如Linux,macOS,BSD等。它执行深入的安全扫描并在系统本身上运行。主要目标是测试安全防御并提供进一步系统强化的提示。Lynis专注于从内部扫描系统本身。它还将扫描一般系统信息,易受攻击的软件包以及可能的配置问题。系统管理员和审计员通常使用Lynis来评估其系统的安全防御。现在渗透测试人员也在他们的工具包有Lynis。Lynis和Lynis ...
【安全】linux audit审计使用入门
最新发布
wangluoanquan111的博客
03-22 1217
rules:审计规则,其配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
Linux安全审计audit安装与使用
NetRookieX的博客
05-26 8639
场景 安全最重要的一步是内部安全,如何监控用户的行为是一个永恒不变的话题。 audit可以详细监控用户的行为,详细到查看或修改了某个文件。这些都可以在日志查看到。 安装 小贴士: CentOS默认已经安装 yum -y install audit* 开启audit服务 service auditd start #开启 service auditd stop #关闭 service...
Linux内核通信Netlink机制.docx
11-01
不过,由于Netlink涉及到内核编程,因此正确地使用Netlink需要深入理解Linux内核的工作原理以及网络编程的知识。在开发过程,需要注意避免因长时间的`input`处理导致的阻塞问题,以及正确管理和同步内核和用户空间...
Audit-Go:使用 golang 和 Lua 的 netlink 协议编写的用于 heka 的 Linux 审计插件
07-03
Netlink是Linux内核与用户空间进程之间通信的一种机制,特别是在处理网络相关的事件时。审计子系统就是其一个利用netlink接口的例子,它可以捕获内核级别的安全事件,如文件访问、权限变更等。Audit-Go插件利用这...
linux内核audit,linux下的audit服务
weixin_42298778的博客
04-29 1182
audit ['ɔːdɪt] 审计auditd是linux的一个审计服务。这是man下的解释auditd is the userspace component to the Linux Auditing System. It’sresponsible for writing audit records to the disk. Viewing the logs isdone with ...
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
Linux 用户空间审计系统
samssm的专栏
05-15 1528
Linux 用户空间审计系统 2012-05-21 17:02 曹江华 51cto.com 字号:T | T Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后管理员可以评审这些日志,确定可能存在的安全漏洞,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux用户空间审计系统,在Red Hat Enterprise Linux
linux审计文档
weixin_34293059的博客
01-12 123
linux审计文档2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise Linux 5已经可用。  要使用Linux Auditing System,可采用下面的步骤:(1) 配...
linux日志auditd,auditd – 在linux进行审计
weixin_39797393的博客
05-01 179
我正在尝试在我的centos 6.x盒子上设置一个强大的审核机制.我尝试并测试了各种审计工具>审计>助手> psacct但没有一个完全符合我的要求.我的要求非常简单,我知道一个审计系统不会全部服务,我可能必须一起使用不同的审计系统.我想要>监控用户运行的所有命令psacct完美地做到了这一点,但它只告诉用户运行的命令,而不是传递给命令的参数.即如果用户运行vim / erc...
auditd审计程序使用详解
daibaohui的博客
08-29 1300
auditd(Linux审核守护程序)简介 auditd是Linux审计系统的用户空间组件。它负责把审计记录写到磁盘上。查看日志是通过ausearch或aureport工具完成的。配置审计系统或加载规则是通过auditctl工具完成的。在启动过程,/etc/audit/audit.rules的规则由auditctl读取并加载到内核。另外,还有一个augenrules程序,它读取位于/etc/audit/rules.d/的规则,并将其编译成audit.rules文件。审计守护程序本身有一些配置选项,管
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4424
首先,Linux国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
Linux系统之audit
bingshanzhu的专栏
04-29 1853
Linux 提供了用来记录系统安全信息的审计系统,使用 audit 系统可以在应用程序执行期间获取比如发生错误的时间,哪个文件导致错误以及原因,什么进程导致了错误等等信息。 用户空间审计系统 Linux内核拥有包括记录系统调用和文件访问等的日志记录事件的能力,管理员可以检查这些日志,确定是否存在安全漏洞,比如多次失败的登录尝试,或者用户对系统文件不成功的访问等。 1、Linux 内核的几种系统调...
linux审计子系统:内核层执行原理
大昱的博客
10-27 1625
linux审计子系统用于记录内核部分子模块及应用层(应用程序)的运行状态,如文件系统、进程、systemd应用的执行进展、遇到的问题等信息。审计子系统通过netlink与auditd应用建立kernel audit直接的通信,并通过auditd把信息写入/var/log/audit/audit.log文件(默认地址,可以设置)。 linux审计子系统内核部分设计相对较为简单,甚至内核文档都没有找到关于它的单独描述(只找到了它的函数定义描述)。
linux审计功能
lishenglong666的专栏
12-16 3731
linux审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
Linux内核2.6.28配置详解与文手册
手册详细解析了Linux内核配置过程的各个关键选项,包括但不限于: 1. 常规设置:这部分涵盖了内核启动时的提示,如是否询问开发不完整驱动程序的处理方式,以及如何自定义内核版本信息。 2. 内存管理:涉及系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值