auditd、bpftrace

已于 2022-02-07 09:38:17 修改
阅读量861 收藏
点赞数
分类专栏: linux 文章标签: linux 系统安全 运维
于 2021-12-23 21:23:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42172261/article/details/122116803
版权

文章目录

auditd介绍

auditd=>(audit daemon) 是Linux审计系统中一个组件,负责将审计记录写入磁盘。

auditd下的一些工具
auditctl: 可以用来添加审计规则等。
aureport: 查看和生成审计报告的工具。
ausearch: 查找审计事件的工具
auditspd: 转发事件通知给其他应用程序,不写入到审计日志文件。
autrace: 一个用于跟踪进程的命令。
/etc/audit/auditd.conf: auditd工具的配置文件。
/etc/audit/audit.rules: 记录审计规则的文件。

auditd工具安装apt install auditd

基本使用

查看当前审计规则 sudo auditctl -l

为passwd文件添加审计 sudo auditctl -w /etc/passwd -p rwxa
-w 路径;-p权限

为/lab/目录添加审计 sudo auditctl -w /lab/

调出对passwd文件的审计信息 sudo ausearch -f /etc/passwd

调出对/lab/目录的审计信息 sudo ausearch -f /lab/

当使用ls /lab/命令后,再查看审计信息就可以看到结果。

查看审计报告总体信息 sudo aureport

查看每次操作信息 sudo aureport -au

auditd审核配置

想要审核永久化,需要编辑/etc/audit/rules.d/audit.rules
在最后一行添加sudo auditctl -l的结果
重启service auditd restart

Bpftrace介绍

Bpftrace(Berkeley Packet Filter trace) 是Linux的新开源 跟踪程序,用于分析生产性能问题和故障排除软件,bpftrace 提供了一种快速利用eBPF实现动态追踪的方法。可以利用它进行内核动态跟踪。

eBPF是一个无需更改内核源代码或加载内核模块实现监视功能的软件。

Linux是一个事件驱动的系统设计,所以对于任何事件的发生,理论上都可以对其进行追踪。
动态追踪都是通过探针的机制,依赖于在追踪点实现的探针(probe),进而获取相应的追踪数据。

内核探针

bpftrace在实现内核行为追踪时使用的探针主要包括内核动态探针(Kprobes)内核静态探针(Tracepoints) 两种。

内核动态探针

内核动态探针可以分为两种:kprobes 和 kretprobes。

Kprobes通常在内核函数执行前插入eBPF程序,kprobes类型的探针用于跟踪内核函数调用。
而kretprobes则在内核函数执行完毕返回之后,插入相应的eBPF程序。

查看当前版本内核所支持的Kprobes探针列表 bpftrace -l 'kprobe:*'

内核静态探针
Tracepoints是在内核代码中所做的一种静态标记,是开发者在内核源代码中散落的一些hook。

查看当前版本内核所支持的Tracepoints探针列表 bpftrace -l 'tracepoint:*'

Kprobes有较强的版本依赖性,而Tracepoints有着更稳定的应用程序编程接口。

H4ppyD0g
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux audit 安全审计干货
qq_40795955的博客
05-13 1961
目录简介一丶审计规则(Auditctl 和 audit.rules)二丶配置文件(auditd.conf)三丶报告工具(aureport)四丶事件查找(ausearch) 简介 简单来说,修改两个配置文件(/etc/audit/audit.rules 和/etc/audit/auditd.conf ),然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤:内核选项勾选和安装软件包(上篇文章已介绍)。添加审计规则,修改配置文件,然后启用 audit 守护进程进行日志记
BPFtrace编程入门
m0_67788957的博客
03-17 788
题目: 1. 获取字符串前5个字符的命令是什么? 2. 在模式匹配的条件查询应使用哪个运算符? 3. 在emp表找到第三高工资。 4. 在emp表找到第三低工资。 5. 查询出没有员工的所有部门。 6. 假设EMP表有提供的年薪信息annualSalary,如何获取每个员工的月工资? 7. 从emp表,查询ename以'S'开头的记录,其长度为6个字符。 8. 如何检索emp1的所有记录,不应该出现在emp2? 9. emp表num字段具有一些负值和一些正值,需要在两个单独的列
[linux下进程行为检测] 3.strace工具、ptrace函数
H4ppyD0g的博客
01-14 940
本文为作者本科毕业设计相关内容的系列文章,记录从零基础到开发一个linux下软件行为检测程序(或者只是学习成果)的过程(详细笔记)。 前文连接 [linux下进程行为检测] 1.proc、sys文件系统 [linux下进程行为检测] 2.auditd、bpftrace工具了解 文章目录straceptrace strace strace可以用来监控用户空间进程和内核的交互,比如系统调用、信号传递、进程状态变更等。 strace 从内核接收信息,而且不需要以任何特殊的方式来构建内核。 lab.c #inc
Linux安全审计功能的实现—audit命令
yunweimao的博客
02-10 8270
1、简介我们知道在Linux系统有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
Linux 用户空间审计工具 audit
Vic的博客
05-21 1万+
前言Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。Linux 用户空间审计系统简介Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文...
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4424
首先,Linux国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
auditd-attack:映射到MITRE的Attack FrameworkLinux Auditd规则集
02-04
"auditd-attack" 是一个针对Linux操作系统的审计工具,它与MITRE的Attack Framework紧密结合,提供了强大的安全监控能力。MITRE的Attack Framework是一个广泛认可的资源,用于理解和应对网络安全威胁,它详细列出了...
auditd:最佳实践审核配置
05-08
___ ___ __ __ / | __ ______/ (_) /_____/ / / /| |/ / / / __ / / __/ __ / / ___ / /_/ / /_/ / / /_/ /_/ / /_/ |_\__,_/\__,_/_/\__/\__,_/ 最佳实践审核配置主意此审核配置的想法是提供一个基本配置,该配置...
ansible-auditd:设置和配置linux auditd
05-04
Ansible角色,用于设置和配置linux auditd。 可能的。 要求和依存关系 Ansible 已在以下版本上进行了测试: 2.2 2.5 2.10 操作系统 Ubuntu 16.04、18.04、20.04 Centos 7、8 Suse 12.x,15.x 剧本范例 只需将...
puppet-auditd-2.2.0-3.189b22bgit.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
安装bpftrace遇到的坑
董广明的博客
05-09 1544
与时俱进,因为很多高级特性其实是内核提供的,而非某语言或框架 前提先按我的文章:在centos7上升级linux kernel到5系列https://blog.csdn.net/dong19891210/article/details/113750557, 升级下内核。 参考: How To Install GCC on CentOS 7https://linuxhostsupport.com/blog/how-to-install-gcc-on-centos-7/ ...
Linux-Audit审计解析
qq_38135115的博客
02-20 4579
前言 Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。 Linux 用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访...
linux auditd审计的简单使用和理解
热门推荐
qq_26614295的博客
08-29 1万+
linux开启安全审计功能,Linux操作系统之安全审计功能
weixin_28819153的博客
05-15 588
内核编译时,一般打开NET选项就打开AUDIT选项了。在系统查看audit是否打开,root 用户执行:service auditd status我们知道在Linux系统有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员工的操作行为就需要开启审计功能,也就是auditd。1、首先执行以下命令开...
Linux 审计工具 auditd 命令
huanghjunjun的博客
10-14 1万+
auditd 常用来对文件修改进行监听。
linux查看是否开启审计功能,linux审计功能auditd
weixin_39736547的博客
05-15 2377
安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,我们知道auditd的审计工具。这个工具在大多数Linux操作系统是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。什么是auditd?auditd(或 auditd 守护进程)是Linux审计系统用户空间的一个组件,其负责将审计记录写入磁盘。安装 auditdUbuntu...
通过auditd找到干坏事的进程
woai110120130的专栏
06-11 1935
最近发现服务器上某个进程会定期执行echo 1 > /proc/sys/vm/drop_caches 命令, 不知道哪个傻瓜干的, 这严重影响了服务器的性能, 问题是通过kernal log看到的 [30352749.162493] sh (11336): drop_caches: 1 [30356347.539229] sh (21947): drop_caches: 1 [30359945.590508] sh (28856): drop_caches: 1 [30363543.255243] s
auditd 离线包
最新发布
12-15
很抱歉,根据提供的引用内容,我没有找到auditd离线包的相关信息。但是,你可以通过以下步骤安装auditd: 1. 打开终端并使用以下命令安装auditd: ```shell sudo apt-get install auditd ``` 2. 安装完成后,你可以使用以下命令检查auditd是否已经安装: ```shell auditctl -v ``` 如果auditd已经安装,你将看到auditd的版本信息。 3. 安装完成后,你可以使用以下命令启动auditd服务: ```shell sudo systemctl start auditd ``` 如果你想在系统启动时自动启动auditd服务,可以使用以下命令: ```shell sudo systemctl enable auditd ``` 这将在系统启动时自动启动auditd服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

H4ppyD0g

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值