部署audit监控文件

最新推荐文章于 2023-05-09 15:21:12 发布
最新推荐文章于 2023-05-09 15:21:12 发布
阅读量286 收藏
点赞数
分类专栏: Linux运维 SECURITY 文章标签: 运维 审计 audit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41176080/article/details/104273608
版权

1案例1:部署audit监控文件

1.1问题

本案例要求熟悉audit书籍工具的基本使用,完成以下任务操作:

  1. 使用audit监控/etc/ssh/sshd_config
  2. 当该文件发生任何变化即记录日志
  3. 通过手动和ausearch工具查看日志内容
1.2方案

审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。
审计能够记录的日志内容:

  • a)日期与事件以及事件的结果
  • b)触发事件的用户
  • c)所有认证机制的使用都可以被记录,如ssh等
  • d)对关键数据文件的修改行为等都可以被记录
1.3步骤

实现此案例需要按照如下步骤进行。

步骤一:配置audit审计系统

1)安装软件包,查看配置文件(确定审计日志的位置)

[root@proxy ~]# yum -y  install  audit                //安装软件包
[root@proxy ~]# cat /etc/audit/auditd.conf            //查看配置文件,确定日志位置
log_file = /var/log/audit/audit.log                //日志文件路径
[root@proxy ~]# systemctl start auditd                //启动服务
[root@proxy ~]# systemctl enable auditd            //设置开机自启

2)配置审计规则
可以使用auditctl命令控制审计系统并设置规则决定哪些行为会被记录日志。
语法格式如下:

[root@proxy ~]# auditctl  -s                        //查询状态
[root@proxy ~]# auditctl  -l                        //查看规则
[root@proxy ~]# auditctl  -D                        //删除所有规则

定义临时文件系统规则:

#语法格式:auditctl  -w  path  -p  permission  -k  key_name
# path为需要审计的文件或目录
# 权限可以是r,w,x,a(文件或目录的属性发生变化)
# Key_name为可选项,方便识别哪些规则生成特定的日志项
[root@proxy ~]# auditctl  -w  /etc/passwd  -p wa  -k  passwd_change
//设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
 [root@proxy ~]# auditctl  -w  /etc/selinux/  -p wa  -k  selinux_change
//设置规则,监控/etc/selinux目录
 [root@proxy ~]# auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition
//设置规则,监控fdisk程序
[root@proxy ~]# auditclt  -w  /etc/ssh/sshd_conf  -p warx  -k  sshd_config
//设置规则,监控sshd_conf文件

如果需要创建永久审计规则,则需要修改规则配置文件:

[root@proxy ~]# vim  /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_changes
-w /usr/sbin/fdisk -p x -k partition_disks

步骤二:查看分析日志

1)动手查看日志
查看SSH的主配置文件/etc/ssh/sshd_conf,查看audit日志信息

[root@proxy ~]# tailf  /var/log/audit/audit.log
type=SYSCALL msg=audit(1517557590.644:229228): arch=c000003e 
syscall=2 success=yes exit=3 
a0=7fff71721839 a1=0 a2=1fffffffffff0000 a3=7fff717204c0 
items=1 ppid=7654 pid=7808 auid=0 uid=0 gid=0 euid=0 suid=0 
fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="cat" 
exe="/usr/bin/cat" 
subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"
.. ..
#内容分析
# type为类型
# msg为(time_stamp:ID),时间是date +%s(1970-1-1至今的秒数)
# arch=c000003e,代表x86_64(16进制)
# success=yes/no,事件是否成功
# a0-a3是程序调用时前4个参数,16进制编码了
# ppid父进程ID,如bash,pid进程ID,如cat命令
# auid是审核用户的id,su - test, 依然可以追踪su前的账户
# uid,gid用户与组
# tty:从哪个终端执行的命令
# comm="cat"            用户在命令行执行的指令
# exe="/bin/cat"        实际程序的路径
# key="sshd_config"    管理员定义的策略关键字key
# type=CWD        用来记录当前工作目录
# cwd="/home/username"
# type=PATH
# ouid(owner's user id)    对象所有者id
# guid(owner's groupid)    对象所有者id

2)通过工具搜索日志
系统提供的ausearch命令可以方便的搜索特定日志,默认该程序会搜索/var/log/audit/audit.log,ausearch options -if file_name可以指定文件名。

[root@proxy ~]# ausearch -k sshd_config -i    
//根据key搜索日志,-i选项表示以交互式方式操作
wanboo0205
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
server_audit.so
04-26
mariadb5.5.68linuxx86_64.tar解压出来的日志审计插件 可直接放在mysql安装目录 install
等保三级安全加固,服务器三权分立设置,mysql密码策略登录策略
莎拉拉吗酷奇的博客
04-20 4219
等保三级mysql和centos7整改。 服务器三权分立设置。mysql数据库密码和登录策略设置等
audit详细使用配置
张无忌
05-09 3194
Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。
嵌入式审计监控文件夹下的文件变化
SVS4414的专栏
08-04 235
创建TEMP文件监控文件夹下的文件创建的进程
audit审计规则配置方法
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
51: 系统审计 、 服务安全 、 服务安全 、 Linux安全之打补丁 、 总结和答疑
weixin_46575696的博客
11-13 402
CASE Top NSD SECURITY DAY05 案例1:部署audit监控文件 案例2:加固常见服务的安全 案例3:使用diff和patch工具打补丁 ...
server_audit.rar
06-16
基本上,MariaDB Audit Plugin的目的是记录服务器的活动。对于每个客户端会话,它记录谁连接到服务器(即用户名和主机),执行了哪些查询,访问了哪些表以及更改了服务器变量。此信息存储在循环日志文件中,或者可以...
Bitrac.rar_audit
09-24
一个很好的审核初学者的实例一个很好的审核初学者的实例
audit
03-28
它是WIP中的POC。 审计 概述 审核是使用操作员框架解决方案的分析工具。..../bin/audit index index --image=registry.redhat.io/redhat/redhat-operator-index:v4.7 --limit=3 --head-only --output-path=testdata/xls
谁动了我的文件——使用audit监控文件和目录
Blue summer的博客
07-13 1万+
有时候在系统上经常会遇到某个文件不知被谁修改了,或者删除了,又找不到证据,这时候audit就派上用场了。 比如我要监控/var/log/test这个目录,可以这样新增一个监控项, [root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test [root@CentOS-7-2 /var/log/test]# auditctl -l -w...
使用audit工具常规命令监控系统访问文件
weixin_33915554的博客
10-26 923
audit工具的作用 audit工具可以对文件使用进行监控,可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。 audit工具的安装和启动 Ubuntu使用apt-get audit。centos使用yum install audit 下面命令enable和启动、停止a...
使用Audit审计服务排查linux终端异常关机问题
EbowTang的练习场
03-06 2528
目录 【基本信息】 【问题描述】 【定位过程】 1,整理规律如下 2,部署audit审计服务定位问题 3,定位后期 【问题原因】 【问题解决】 【问题小结】 附录 1,audit审计服务部署脚本及其安装包 2,配置软绘,软解,禁用power键 3,部署audit服务 4,audit审计日志与规则 我将本案例写成了文档案例,可参见阿里云盘链接下载阅读,凡是提及附件的地方本文均未粘贴,可下载文档来阅读: 「spaceos终端不符合预期关机问题」https://www.
auditctl 监控文件修改
csdnhadoop的博客
04-29 6444
设置监控auditctl  -w /root/dead.letter -p wxa -k "mon_dead" -w 监控文件路径 /root/dead.letter  -p 监控文件筛选 r(读) w(写) x(执行) a(属性改变) -k 筛选字符串,用于查询监控日志 设置了监控后,会在/var/log/audit/audit.log里出现日志。 可以用
通过audit监控某个文件的写操作
llxx1234的博客
05-27 960
按照下面的步骤可以增加对某个文件写操作的监控, 1、vi /etc/audit/rules.d/audit.rules在最后一行加入一行 -w 文件名字 -p w -k 别名(test) 2、 执行service auditd restart 3、获取监控结果,有两种方法 cat /var/log/audit/audit.log |grep test au...
linux内核监听文件变化,使用auditd监控Linux的文件变化
weixin_30738065的博客
04-30 532
如果没有auditd的话,使用yum安装安装即可以linux监控/tmp/xxx.dat为例:#vi/etc/audit/audit.rules#whenevertheauditdaemonisstartedviatheinitscripts.#Therulesaresimplytheparametersthatwouldbepassed#toaudi...
Linux中audit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
《云计算》-安全策略-部署audit监控文件文件发生任何变化即记录日志、通过手动和ausearch工具查看日志内容
解启超
03-06 472
1 案例1:部署audit监控文件 1.1 问题 本案例要求熟悉audit审计工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2 方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会...
audit监控文件不生效的原因
最新发布
09-08
audit监控文件不生效的原因可能有以下几点: 1. 审计服务未启动:请确保audit服务已经正确安装并启动。在Ubuntu上可以使用apt-get audit命令,而在CentOS上可以使用yum install audit命令来安装audit服务。启动audit服务可以使用Systemctl start auditd命令。 2. 规则未添加或添加不正确:audit的规则需要使用auditctl工具进行添加。使用auditctl -l命令可以查看当前生效的规则。请确保正确添加了监控文件的规则,例如使用auditctl -w /path/to/file -p wxra命令添加监控。 3. 规则不生效或被覆盖:添加的规则每次audit服务重启后就会消失,如果希望规则在每次服务重启后仍然有效,可以将规则写入/etc/audit/rules.d/audit.rules文件的末尾。这样可以确保每次服务重启后规则仍然有效。 4. 文件路径错误:请确保监控文件的路径正确无误。使用auditctl -l命令可以查看当前生效的规则,确认监控文件路径是否正确。 5. 权限问题:请确保运行audit服务的用户具有足够的权限来监控文件。通常需要root或具有sudo权限的用户才能进行文件监控。 总结:audit监控文件不生效的原因可能包括未启动审计服务、规则未添加或添加不正确、规则不生效或被覆盖、文件路径错误以及权限问题。请逐一排查以上可能原因,确保配置正确并启动了审计服务。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值