linux日志auditd,auditd – 在linux中进行审计

最新推荐文章于 2024-01-11 15:32:41 发布
最新推荐文章于 2024-01-11 15:32:41 发布
阅读量174 收藏
点赞数
文章标签: linux日志auditd

我正在尝试在我的centos 6.x盒子上设置一个强大的审核机制.我尝试并测试了各种审计工具

>审计

>助手

> psacct

但没有一个完全符合我的要求.我的要求非常简单,我知道一个审计系统不会全部服务,我可能必须一起使用不同的审计系统.我想要

>监控用户运行的所有命令

psacct完美地做到了这一点,但它只告诉用户运行的命令,而不是传递给命令的参数.即

如果用户运行vim / erc / passwd,则lastcomm< username>只会告诉vim命令已运行但不告诉实际编辑了哪个文件.

审计人员说,例如运行了vim命令并编辑了一个特定文件,但没有告诉谁编辑了该文件.

假设我以sudo用户身份运行命令,那么如果有10个sudo用户作为gid并且uid将在命令输出中为超级用户,那么它不会告诉我哪个用户编辑了特定文件:

time->Sat Jun 20 15:52:45 2015

type=PATH msg=audit(1434795765.057:54685): item=4 name="/etc/passwd" inode=152790 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE

type=PATH msg=audit(1434795765.057:54685): item=3 name="/etc/passwd" inode=152786 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE

type=PATH msg=audit(1434795765.057:54685): item=2 name="/etc/passwd+" inode=152790 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE

type=PATH msg=audit(1434795765.057:54685): item=1 name="/etc/" inode=130562 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT

type=PATH msg=audit(1434795765.057:54685): item=0 name="/etc/" inode=130562 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT

type=CWD msg=audit(1434795765.057:54685): cwd="/etc"

type=SYSCALL msg=audit(1434795765.057:54685): arch=c000003e syscall=82 success=yes exit=0 a0=7fffba897300 a1=7fd7cc94ece0 a2=7fffba8971c0 a3=0 items=5 ppid=14041 pid=14043 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=8494 comm="useradd" exe="/usr/sbin/useradd" key=(null)

>想跟踪对文件所做的实际更改

辅助工具告诉文件已被修改,但是如何获取实际修改的内容的细节以及哪些用户进行了修改?

weixin_39797393
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统安全--安全审计audit
u012967763的专栏
01-12 2274
1、audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs)。syslog记...
Linux内核:进程管理——安全审计
m0_74282605的博客
04-17 1399
audit.rules 是 audit 的规则文件,确定 audit 的日志记录哪些操作。syslog记录的信息有限,主要目的是软件调试,跟踪和打印软件的运行状态,而audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
linux的audit审计日志
weixin_30918633的博客
05-04 564
这里首先介绍auditctl的应用,具体使用指南查看man auditctl。auditctl的man 描述说明这个工具主要是用来控制audit系统行为,获取audit系统状态,添加或者删除audit系统的规则。控制audit系统行为和获取audit系统状态参数: -s 或者auditd 状态 auditctl -s 显示:AUDIT_STATUS: enabled=1 flag=1 pid=...
linux内核audit,linuxaudit审计服务
weixin_39787826的博客
04-29 269
linuxaudit审计服务Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明:auditctl : 即时控制审计守护进程的行为的工具,如添加规则等。a...
centos 日志审计_Linux\CentOSauditd安全审计工具的使用
weixin_32943417的博客
01-17 1116
介绍Auditd工具可以帮助运维人员审计Linux。这个工具在大多数Linux操作系统是默认安装的,是Linux审计系统用户空间的一个组件,其负责将审计记录写入磁盘。安装$apt-getinstallauditdor$yum-yinstallauditauditd-libs相关命令auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等$sudoaudit...
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
auditd-attack:映射到MITRE的Attack FrameworkLinux Auditd规则集
02-04
8. **合规性**:在某些行业和法规环境审计记录的保留和分析是强制性的,使用auditd-attack可以帮助满足这些合规要求。 9. **事件响应**:一旦触发警报,需要有清晰的事件响应流程,包括调查、隔离、修复和预防...
Linux操作系统之安全审计功能-Audit
10-10
在Kylin Linux V10Auditd是Audit子系统的主要服务,负责启动、配置和管理审计过程。 首先,我们要安装Auditd。在Kylin Linux V10,这通常通过RPM(Red Hat Package Manager)包来完成。给定的文件包含三个...
Linux虚拟机的安全审计-bruce1
08-08
通过上述步骤,我们可以构建一个基础的Linux安全审计框架,监控系统关键部分的变动,并在出现问题时提供详实的审计日志,从而增强系统的可追溯性和安全性。然而,安全审计是一个持续的过程,需要根据实际需求不断...
Linux系统审计机制的研究及安全配置.pdf
09-07
审计日志通常存储在特定的日志文件,便于系统管理员进行查阅和分析。 Linux审计机制在设计上是灵活的,允许管理员根据需要选择审计哪些用户、操作和资源。例如,可以设置审计网络连接、文件访问、进程活动以及...
ansible:如何在centos 7上重新启动auditd服务得到关于依赖的错误
最新发布
weixin_42803243的博客
01-11 1250
在我的剧本,我有一个更新 audit.rules 的任务,然后通知应该重新启动 auditd 服务的处理程序。在我的剧本,我有一个更新 audit.rules 的任务,然后通知应该重新启动 auditd 服务的处理程序。在我的剧本,我有一个更新 audit.rules 的任务,然后通知应该重新启动 auditd 服务的处理程序。当 playbook 运行时,会更新审计规则并请求重新启动 auditd,但这会失败,如下所示。进行了探索、讨论和解决(大部分)。进行了探索、讨论和解决(大部分)。
auditd日志分析方法
weixin_38637595的博客
05-22 2853
auditd是监听目录下的文件操作 你可以通过auditd配置你要监听的目录,之后对这个目录下的操作会记录到autitd的日志 这里先不讲如何去配置auditd,这里讲如何去分析auditd日志 auditd原理简介 首先我们创建文件也好,删除文件也好,都是由进程帮我们去执行的 linux内核提供接口,可以查询进程对文件的操作 autitd记录的就是文件操作时涉及到的数据记录下来 所以只要分析日志就可以判断出是谁对哪个文件进行了什么操作 本文只分享分析方法,这里就讲得粗糙些 怎么去分析 这
Linux进程详解
weixin_40548182的博客
02-20 873
/sbin/init 内核启动的第一个用户级进程,引导用户空间服务 [kthreadd] 内核线程管理 [migration/0] 用于进程在不同的CPU间迁移 [ksoftirqd/0] 内核调度/管理第0个CPU软断的守护进程 [migration/1] 管理多核心 [ksoftirqd/1] 内核调度/管理第1个CPU软断的守护进程 [events/0] 处理内核事件守护进程 [events/1]
centos安装审计日志
qq_42430287的博客
02-23 1397
centos安装audit审计日志 安装: 直接使用yum进行安装auditd系列程序: yum -y install audit auditd-libs 相关命令: 1、auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。 auditctl -l #查看规则 auditctl -D #清空规则 2、aureport : 查看和生成审计报告的工具。 aureport -l...
Linux系统之audit
bingshanzhu的专栏
04-29 1847
Linux 提供了用来记录系统安全信息的审计系统,使用 audit 系统可以在应用程序执行期间获取比如发生错误的时间,哪个文件导致错误以及原因,什么进程导致了错误等等信息。 用户空间审计系统 Linux内核拥有包括记录系统调用和文件访问等的日志记录事件的能力,管理员可以检查这些日志,确定是否存在安全漏洞,比如多次失败的登录尝试,或者用户对系统文件不成功的访问等。 1、Linux 内核的几种系统调...
等保2.0linux测评指南
weixin_45671242的博客
08-09 2624
等保2.0Linux测评指南
Linux auditd.conf详解
ddd123789999的博客
11-01 2442
研究audit日志规则,本文为进程配置。 审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录日志文件时, 一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个 目录或这个目录日志文件。 log_file =/var/log/audit/audit.log 写日志时要使用的格式。当设置为RAW时,数据会以从内核检索到...
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
linux查看是否开启审计功能,linux审计功能auditd
weixin_39736547的博客
05-15 2362
安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,我们知道auditd审计工具。这个工具在大多数Linux操作系统是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。什么是auditdauditd(或 auditd 守护进程)是Linux审计系统用户空间的一个组件,其负责将审计记录写入磁盘。安装 auditdUbuntu...
linux日志审计配置
05-26
Linux系统进行日志审计可以帮助管理员更好地了解系统的运行状况和发现潜在的安全问题。下面是一个简单的步骤,用于配置Linux系统的日志审计。 1. 安装 audit 工具 在大多数 Linux 发行版,audit 工具已经预安装。如果没有,可以使用以下命令安装: ``` sudo apt-get install auditd # Debian/Ubuntu sudo yum install audit # CentOS/RHEL ``` 2. 配置审计规则 审计规则用于确定哪些事件需要被记录下来。可以编辑 /etc/audit/rules.d/audit.rules 文件来定义审计规则。这个文件可能已经存在了,如果不存在,可以手动创建。 以下是一个例子: ``` # This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the init scripts. # The rules are simply the parameters that would be passed # to auditctl. # First rule - delete all -D # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 8192 # Feel free to add below this line. See auditctl man page # for more information ``` 3. 启动 auditd 服务 配置完成后,启动 auditd 服务: ``` sudo systemctl start auditd ``` 4. 查看审计日志 审计日志存储在 /var/log/audit/audit.log 文件。可以使用以下命令来查看日志: ``` sudo ausearch -i -ts today ``` 这将显示今天发生的所有审计事件。可以使用其他选项来指定时间范围、事件类型等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值