部署audit监控文件

最新推荐文章于 2024-03-22 10:00:00 发布
最新推荐文章于 2024-03-22 10:00:00 发布
阅读量1.4k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40018205/article/details/81057630
版权

审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。

审计能够记录的日志内容:

a) 日期与事件以及事件的结果

b) 触发事件的用户

c) 所有认证机制的使用都可以被记录,如ssh等

d) 对关键数据文件的修改行为等都可以被记录

1)安装软件包,查看配置文件(确定审计日志的位置)

[root@localhost ~]# yum -y install aide

[root@localhost ~]# cat /etc/audit/auditd.conf

[root@localhost ~]# cat  /var/log/audit/audit.log 

@@define DBDIR /var/lib/aide

database_out=file:@@{DBDIR}/aide.db.new.gz

/root  DATAONLY

#/root

#/bin

#/etc

#/usr

aidi --init  生成数据库 >

aide  --check 读数据库

nmap  -sP -sT -sS -sU -A

ftp

ip

tcpdump抓包

A--交换机--》B

[root@localhost ~]# systemctl start auditd  

[root@localhost ~]# systemctl enable auditd

2)配置审计规则

可以使用auditctl命令控制审计系统并设置规则决定哪些行为会被记录日志。

[root@localhost ~]# auditctl -s   //查询状态
enabled 1
failure 1
pid 638
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
loginuid_immutable 0 unlocked
[root@localhost ~]# 

[root@localhost ~]# auditctl  -l    //查看规则

No rules

[root@localhost ~]# auditctl  -D //删除所有规则

No rules

定义临时文件系统规则:

  1. #语法格式:auditctl -w path -p permission -k key_name
  2. # path为需要审计的文件或目录
  3. # 权限可以是r,w,x,a(文件或目录的属性发生变化)
  4. # Key_name为可选项,方便识别哪些规则生成特定的日志项

[root@localhost ~]# auditctl  -w  /etc/passwd  -p wa  -k  passwd_change


//设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志

[root@localhost ~]# auditctl  -w  /etc/passwd  -p wa  -k  passwd_change

//设置规则,监控/etc/selinux目录

[root@localhost ~]# auditctl  -w  /etc/selinux/  -p wa  -k  selinux_change

//设置规则,监控fdisk程序

[root@localhost ~]# auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition

//设置规则,监控sshd_conf文件

[root@localhost ~]# auditctl  -w  /etc/ssh/sshd_conf  -p warx  -k  sshd_config

如果需要创建永久审计规则,则需要修改规则配置文件:

[root@localhost ~]# vim  /etc/audit/rules.d/audit.rules

步骤二:查看并分析日志

1)手动查看日志

查看SSH的主配置文件/etc/ssh/sshd_conf,查看audit日志信息:

[root@localhost ~]#  tailf  /var/log/audit/audit.log

type=CONFIG_CHANGE msg=audit(1531664156.140:231): auid=0 ses=6 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key="selinux_change" list=4 res=1

  1. #内容分析
  2. # type为类型
  3. # msg为(time_stamp:ID),时间是date +%s(1970-1-1至今的秒数)
  4. # arch=c000003e,代表x86_64(16进制)
  5. # success=yes/no,事件是否成功
  6. # a0-a3是程序调用时前4个参数,16进制编码了
  7. # ppid父进程ID,如bash,pid进程ID,如cat命令
  8. # auid是审核用户的id,su - test, 依然可以追踪su前的账户
  9. # uid,gid用户与组
  10. # tty:从哪个终端执行的命令
  11. # comm="cat"         用户在命令行执行的指令
  12. # exe="/bin/cat"        实际程序的路径
  13. # key="sshd_config"    管理员定义的策略关键字key
  14. # type=CWD        用来记录当前工作目录
  15. # cwd="/home/username"
  16. # type=PATH
  17. # ouid(owner's user id)    对象所有者id
  18. # guid(owner's groupid)    对象所有者id

2)通过工具搜索日志

系统提供的ausearch命令可以方便的搜索特定日志,默认该程序会搜索/var/log/audit/audit.log,ausearch options -if file_name可以指定文件名。

[root@localhost ~]# ausearch -k sshd_config -i     //根据key搜索日志,-i选项表示以交互式方式操作

----
type=CONFIG_CHANGE msg=audit(2018年07月15日 22:22:48.834:240) : auid=root ses=6 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key=sshd_config list=exit res=yes 
[root@localhost ~]# 
乐于技术分享
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Linux监听系统文件(二)——auditd
qq_43287763的博客
07-09 207
使用auditd可以记录文件的修改操作,博主采用的就是这种,下面是实例。首先,安装auditd然后,添加一个监控规则来监控这是auditd生成的审计日志输出,描述了之前设置的审计规则被添加的事件。让我们逐步解释每一部分的含义:这些日志条目表明你成功添加了一条审计规则来监视`/etc/locale.conf`文件的更改。接下来,审计日志将记录对这个文件的所有访问和更改。
51: 系统审计 、 服务安全 、 服务安全 、 Linux安全之打补丁 、 总结和答疑
weixin_46575696的博客
11-13 417
CASE Top NSD SECURITY DAY05 案例1:部署audit监控文件 案例2:加固常见服务的安全 案例3:使用diff和patch工具打补丁 ...
【安全】linux audit审计使用入门
最新发布
wangluoanquan111的博客
03-22 1366
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
Linux auditd.conf详解
u012085379的专栏
03-24 1万+
研究audit日志规则,本文为进程配置。 # 审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时, # 一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个 # 目录或这个目录中的日志文件。 log_file =/var/log/audit/audit.log # 写日志时要使用的格式。当设置为RAW
audit审计系统
08-17
1. **日志记录**:审计系统能够详细记录所有用户活动,如登录、文件访问、系统变更等,形成审计日志。 2. **实时监控**:实时监测系统活动,及时发现异常行为并报警,如未经授权的访问尝试。 3. **合规性检查**:...
10.5: 系统审计 、 服务安全 、 服务安全 、 Linux安全之打补丁 、 总结和答疑.docx
03-05
在本案例中,我们将学习如何部署 Audit 监控文件,包括如何安装 Audit 软件包、如何配置 Audit 规则、如何查看 Audit 日志。 步骤一:配置 Audit 审计系统 1. 安装 Audit 软件包:`yum -y install audit` 2. 查看...
audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64.zip
04-25
MySQL 5.7 社区版的审计插件是数据库管理员用于监控和记录数据库活动的重要工具,它提供了详细的日志功能,有助于确保数据安全性、合规性和故障排查。"audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64.zip" 文件是一...
小白如何部署modsecurity.doc
04-23
你可以尝试发送一个已知的恶意请求,然后查看`/var/log/apache2/modsec_audit.log`(或根据你的配置中指定的日志路径)中的记录,看是否有相应的防御响应。 **注意事项与高级配置** - **规则集**:默认情况下,...
CKS - Practise - PSP and Audit.docx
04-29
创建一个新的审计策略文件 `/etc/kubernetes/prod-audit.yaml` 并按如下方式配置: ```yaml apiVersion: audit.k8s.io/v1 kind: Policy rules: - level: Metadata namespace: - "prod" verb: - "delete" ...
Linux中audit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
Audit守护进程配置和审计Linux系统
Jesse技术博客
05-18 3144
Debian安装Audit Debian/Ubuntu使用命令:apt-get install auditd audispd-plugins 查看运行: root@debian:~# service auditd status ● auditd.service - Security Auditing Service Loaded: loaded (/lib/systemd/system/...
使用auditctl追踪文件变化
weixin_34235457的博客
06-15 670
扔出去的烫手山芋,最后还是会回到自己手上。所以,遇见问题最好的办法不是回避,而是直面。问题描述:通过ftp远程mget下来的文件,用户在使用时发现找不到。ftp日志中有传输记录,ftp脚本中同时用ls命令显示本地文件夹的内容,并且会cp一份到备份目录。根据所有记录,发现文件确定load下来,但是当用户需要使用时,却丢失了。于是,问题来了,有没有办法知道文件是什么时候生成,有谁...
audit审计规则配置方法
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
Linux-Audit审计解析
qq_38135115的博客
02-20 4598
前言 Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。 Linux 用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访...
Linux系统安全--安全审计audit
u012967763的专栏
01-12 2297
1、audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs)。syslog记...
系统架构-性能篇章1(应用系统性能2:OOM&参数配置)
weixin_33898233的博客
07-15 828
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux audit【规则设置篇】
u010154760的专栏
04-08 1万+
前面两篇博文介绍了Linux audit的架构,以及守护auditd的配置。让audit真正的为我们服务,还需要配置audit的规则,也就是说我们要audit什么样的事件,具体什么事件需要audit监控跟实际的应用有关。这里主要介绍audit的规则配置工具auditctl文件配置方法/etc/audit/audit.rules.      这里首先介绍auditctl的应用,具体使用指南
系统审计:监控、加固和打补丁的Linux服务安全
本文将介绍三个案例,分别是部署audit监控文件、加固常见服务的安全和使用diff和patch工具打补丁。 案例1:部署audit监控文件 该案例要求熟悉audit审计工具的基本使用,完成以下任务操作: 1. 使用audit监控/etc/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐于技术分享

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值