linux设置中断审计权限,linux audit审计(6)--audit永久生效的规则配置

最新推荐文章于 2024-05-06 16:15:13 发布
最新推荐文章于 2024-05-06 16:15:13 发布
阅读量567 收藏
点赞数
文章标签: linux设置中断审计权限

定义reboot系统后,仍然生效的审计规则,有两种办法:

1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules

2、将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin/augenrules --load

以上两种方法都有对应的命令:

1、auditctl -R path-to-rules,如

auditctl -R /etc/audit/rules.d/30-pci-dss.rules

2、augenrules --load

使用这个命令可以将/etc/audit/rules.d目录下的规则,按照顺序编辑到audit.rules中。

在/usr/share/doc/audit/rules/路径下,audit包提供了已经配置好的规则文件,用于各种认证,如PCI DSS,STIG等。如下:

linux-xdYUnA:/usr/share/doc/audit-2.7.6/rules # ll

total 96

-rw-r--r-- 1 root root 163 Mar 29 17:19 10-base-config.rules

-rw-r--r-- 1 root root 284 Apr 19 2017 10-no-audit.rules

-rw-r--r-- 1 root root 93 Apr 19 2017 11-loginuid.rules

-rw-r--r-- 1 root root 329 Apr 19 2017 12-cont-fail.rules -rw-r--r-- 1 root root 323 Apr 19 2017 12-ignore-error.rules -rw-r--r-- 1 root root 516 Apr 19 2017 20-dont-audit.rules -rw-r--r-- 1 root root 273 Apr 19 2017 21-no32bit.rules -rw-r--r-- 1 root root 252 Apr 19 2017 22-ignore-chrony.rules -rw-r--r-- 1 root root 4915 Apr 19 2017 30-nispom.rules -rw-r--r-- 1 root root 5952 Apr 19 2017 30-pci-dss-v31.rules -rw-r--r-- 1 root root 6663 Apr 19 2017 30-stig.rules -rw-r--r-- 1 root root 1498 Apr 19 2017 31-privileged.rules -rw-r--r-- 1 root root 218 Apr 19 2017 32-power-abuse.rules -rw-r--r-- 1 root root 156 Apr 19 2017 40-local.rules -rw-r--r-- 1 root root 439 Apr 19 2017 41-containers.rules -rw-r--r-- 1 root root 672 Apr 19 2017 42-injection.rules -rw-r--r-- 1 root root 424 Apr 19 2017 43-module-load.rules -rw-r--r-- 1 root root 326 Apr 19 2017 70-einval.rules -rw-r--r-- 1 root root 151 Apr 19 2017 71-networking.rules -rw-r--r-- 1 root root 86 Apr 19 2017 99-finalize.rules -rw-r--r-- 1 root root 1202 Apr 19 2017 README-rules

注意,每个rules有一个数字,这些表示的是加载顺序。如果需要pci-dss认证的规则,可以将10-base-config,30-pci-dss-v31,以及99-finalize拷贝到rules.d目录下。然后再使用augenrules --load命令把这些规则加载进来。

这些规则分类如下:

10 -Kernel and auditctl configuration20 -Rules that could match general rules but you want a different match30 -Main rules40 -Optional rules50 - Server-specific rules70 -System local rules90 - Finalize (immutable)

使用auditctl -R可以加载多个规则文件,不会覆盖,使用augenrules --load后,之前的规则就没有了。

巩硕
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统配置核查-【等保测评】网络安全等级保护测评 S3A3 计算环境操作系统(1)
rdytfuygiohi的博客
04-03 591
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
linux 永久插入规则,linux audit审计(6)--audit永久生效规则配置
weixin_35217123的博客
05-16 819
定义reboot系统后,仍然生效审计规则,有两种办法:1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules2、将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin/aug...
audit详细使用配置
张无忌
05-09 3438
Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。
Linux系统配置核查-【等保测评】网络安全等级保护测评 S3A3 计算环境操作系统(Linux)_等保 s3a3
最新发布
m0_60229361的博客
05-06 1177
可以参考能力验证给出的权限表用于管理整个系统,可在 /etc/sudoer 中授予各式各样的权限,但无审计管理的权限,不可中断审计进程及修改审计配置等,且不可威胁到root用户。可授予新增操作员、修改对应文件、服务等的一些操作管理。例如仅可修改普通用户口令,不可修改root账户口令负责各类安全策略的制定与落实。包括不限于服务器口令安全策略、备份安全策略、审计安全策略、账户安全策略、防病毒策略、运维安全策略等等。
unit 7
XMJDCH的博客
01-16 444
################ ####第七单元#### ################ ####1.进程定义#### 进程就是cpu未完成的工作 ####2.ps命令#### ps     a    ##关于当前环境的所有进程     x    ##与当前环境无关的所有进程     f    ##显示进程从属关系     e    ##显示进程调用环境工具的详细信
Linux安全审计功能的实现—audit命令
yunweimao的博客
02-10 8216
1、简介我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
Linux内核:进程管理——安全审计
m0_74282605的博客
04-17 1409
audit.rules 是 audit规则文件,确定 audit 的日志中记录哪些操作。syslog记录的信息有限,主要目的是软件调试,跟踪和打印软件的运行状态,而audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
audit-plugin-mysql-5.7-1.1.7 for Linux
06-12
mysql 5.7安全审计插件 Linux X86-X64通用...audit-plugin-mysql-5.7-1.1.7 for Linux 等保开启审计插件,貌似官网找不到,发出来共享. 缺点:日志信息比较大,对性能影响大。 优点:对每一时刻每一用户的操作都有记录。
audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64
04-09
这个名为 "audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64" 的压缩包包含了一个针对 MySQL 5.7 版本的审计解决方案,特别设计用来记录和分析数据库的各种操作,如查询、登录尝试、权限变更等。 审计插件的主要...
audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64.zip
04-25
"audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64.zip" 文件是一个针对Linux 64位系统的特定版本审计插件,适用于MySQL 5.7版本。 审计插件的主要功能包括: 1. **活动记录**:审计插件能够详细记录所有SQL语句,...
Linux操作系统之安全审计功能-Audit
10-10
给定的文件中包含三个RPM包:audit-3.0-6.se.04.ky10.aarch64.rpm、audit-devel-3.0-6.se.04.ky10.aarch64.rpm和audit-libs-3.0-6.se.04.ky10.aarch64.rpm。它们分别是Audit的主要包、开发包和库包。安装步骤如下: ...
Audit-审计工具箱.exe
04-22
create a shake-up in mobile phone operating systems with the launch of its Android platform. Designed to be completely open and free for developers, the API could change the way mo
关于Linux中断的相关查询
From now on...的Blogs
02-03 2992
关于Linux中断的相关查询
linux等保三级检查命令
UMSA
12-02 4486
一、身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复 杂度要求并定期更换; 1、应核查用户在登陆时是否采用了身份鉴别措施; 用户登录服务器需要使用账户+账户口令。 2、应核查用户列表确认用户身份标识是否具有唯一性; (more /etc/passwd) //查看命令结果,第三字段不存在相同数字、用户名不存在相同名称。 3、应核查用户配置信息或测试验证是否不存在空口令用户; (more /etc/shadow) //查看命令结果,红框内的乱码表示加密以
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置规则。 使用配置文件配置,需...
Ubuntu修改密码及密码复杂度策略设置方法
szgyunyun的博客
02-11 1万+
版本查看 cat /etc/issue cat /proc/version 内核查看 uname -a Ubuntu修改密码及密码复杂度策略设置方法 一、修改密码 1、修改普通用户密码 passwd 2、修改root用户密码 sudo passwd root 默认root用户被禁止登录,如果需要解除限制,修改配置即可 sudo vim /etc/ssh/sshd_config 将默认配置注释掉,添加一行新的配置,默认的配置为允许root登录,但是禁止root用密码登录 将默认配置注释掉,添加一行新
【原创】CentOS8最小化安装中系统命令,看你能认识几个
赵庆明老师
04-07 2602
CentOS8 最小化安装。系统版本 [root@CentOS8 ~]# uname -a Linux CentOS8 4.18.0-338.el8.x86_64 #1 SMP Fri Aug 27 17:32:14 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux 系统命令 1 accessdb 2 adduser 3 alternatives 4 apropos 5 arping 6 augenrules 7 aureport 8 authselect 9 avcstat
安全3
diebaoyan1530的博客
04-30 779
10 # systemctl status auditd.service 默认这个服务是安装并启动的,selinux也无权关掉● auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enab...
Linux 配置审计规则 /etc/audit/rules.d/audit.rules
03-25
可以使用一些命令来配置/Linux下的审计规则,例如使用命令:sudo nano /etc/audit/rules.d/audit.rules 来打开Linux上的audit.rules配置文件并对其进行修改,但是具体的配置规则需要根据具体的场景和需求进行制定。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值