审计规则配置

最新推荐文章于 2024-04-14 20:42:28 发布
最新推荐文章于 2024-04-14 20:42:28 发布
阅读量2.2k 收藏 8
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44683938/article/details/122471644
版权

groupadd shenjiguanli
useradd -g shenjiguanli audit

audit 配置文件简介
audit 安装后会生成 2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。首次安装 audit 后, 审计规则文件是空的。
注意:

#查看审计规则
#auditctl -l

#添加审计规则
#auditctl -w /etc/passwd -p rwxa(注意:用 auditd 添加审计规则是临时的,立即生效,但是系统重启失效。)
#-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
#-p : 指定触发审计的文件/目录的访问权限
#-k 给当前这条监控规则起个名字,方便搜索过滤
#rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

添加审计规则(如果您希望将此规则设为永久性):

vi /etc/audit/rules.d/audit.rules

添加以下规则:
####记录用户和组的修改的事件
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
####记录登录和登出事件
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins

重启:service auditd restart

#查看审计规则
#auditctl -l

#查看审计日志
#ausearch -f /etc/passwd

#生成简要报告
#aureport
烟草皱叶蛤蟆皮
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 系统管理和监控命令---- auditctl 命令
redrose2100的博客
12-28 1052
auditctlLinux 审计系统(audit system)的一部分,它允许管理员配置审计规则,以跟踪和记录系统活动。这些规则可以帮助你监控对特定文件的访问、追踪特定用户的活动或记录系统调用。以下是auditctl
Linux安全基线-audit审计规则配置7小项(CentOS8)
bigwood99的博客
09-30 1384
监视与文件和文件属性的删除或重命名关联的系统调用的使用。此配置语句设置对unlink(删除文件),unlinkat(删除文件属性),rename(重命名文件)和renameat(重命名文件属性)系统调用的监视,并使用标识符“delete”对其进行标记。以下参数监视sethostname(设置系统主机名)或setdomainname(设置系统域名)系统调用,并在系统调用出口上写入审核事件。并且将审核记录写入文件/var/log/audit.log,并用标识符“ time-change”标记记录。
audit安装配置及使用
最新发布
weixin_45630387的博客
04-14 1074
官网链接:https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing。
linux审计功能及规则audit.rule)
winnieFighting
11-28 2434
在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。
linux审计audit可以定义的规则,linux audit审计(5)--audit规则配置
weixin_35409775的博客
05-15 654
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
linux 审计工具 auditd 添加规则-过滤type=PROCTITLE
guoguangwu的专栏
07-25 1525
过滤掉type=PROCTITLE的数据 调用audit_log_exit会写入syscall 日志和AUDIT_PROCTITLE等日志,而AUDIT_PROCTITLE对于分析 数据可能没有太大贡献。 可以使用以下规则进行过滤 auditctl -a always,exclude -F msgtype=PROCTITLE ...
Linux安全审计配置
Kason_iWiki
01-06 946
Linux操作系统中,将所有用户的操作指令记录在日志文件中供审计
平台日志审计配置方法和步骤
05-31
根据日志审计的要求,我们重点关注用户的登录、登出行为和系统守护程序的运行状态。基于此,我们主要采集Unix系统的一下syslog日志
东软安全审计NABH配置手册,及说学习ppt
03-09
5. 配置管理:支持灵活的策略配置,可以根据组织需求定制审计规则。 二、配置案例 配置手册中可能包含以下步骤: 1. 硬件安装与网络连接:详细指导如何正确安装数据采集器和服务器,以及如何设置网络连接。 2. 系统...
Seay代码审计工具
04-11
对于不同的语言,Seay会使用特定的语法解析器和审计规则,以确保对各种编程风格的代码都能进行有效审计。 此外,Seay还提供了自定义规则的功能,允许开发者根据项目的特性和安全需求,添加或修改审计规则。这对于...
seay代码审计工具
10-06
1. **安装与配置**:首先,下载并安装Seay代码审计工具,根据项目需求配置相应的扫描规则和参数。 2. **代码扫描**:将待审计的源代码导入或指定路径,启动Seay进行扫描。 3. **查看结果**:扫描完成后,查看生成...
rsyslog所有用户日志审计
12-22
为了审计sudo操作,需要在rsyslog配置文件中添加相应的规则。在上面的部分内容中,添加了以下命令: echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf 这条命令将sudo操作的日志信息记录到/var/log/sudo...
Linux审计配置
weixin_34176694的博客
07-03 1144
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux安全基线-审计配置9小项
bigwood99的博客
09-30 1635
监视sudo日志文件。如果系统已正确配置为禁用该su命令,并强制所有管理员必须先登录然后sudo才能执行特权命令,则所有管理员命令都将登录到/var/log/sudo.log。该文件/var/log/lastlog保留用户最后一次成功登录的记录。该文件/etc/sudoers被写入或其属性已更改为。该文件/var/run/utmp跟踪所有当前登录的用户。/var/log/wtmp文件跟踪登录,注销,关闭和重新启动事件。将以下行添加到/etc/audit/rules.d/audit.rules文件末尾。
RHEL审计内容/etc/audit/audit.rules
cuiyong8723的博客
01-24 1734
# This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the initscr...
linux审计功能(audit
weixin_71792169的博客
09-26 3692
PART ONE 为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs) syslog会记录系统状态(硬件警告、
auditctl (转)
weixin_33834628的博客
06-28 687
一.audit介绍 auditlinux系统中用于记录用户底层调用情况的系统,如记录用户执行的open,exit等系统调用.并会将记录写到日志文件中.audit可以通过使用auditctl命令来添加或删除audit规则.设置针对某个用户进行记录,或针对某个进程的进行记录. audit主要包含2个命令: auditd audit服务进程auditctl ...
用Chat GPT来处理工作问题、Chat GPT处理重启auditd服务后/etc/audit/audit.rules文件内容消失和openssl对文件的加解密的使用说明
崔崇鑫的博客,你linux/云运维工作中的百科全书。
06-13 412
使用过以后发现 在AI面前 人类真的太渺小了 人的知识储备量 和AI真的完全没发比 比百度还好使,所以以后有没有一天,我们的行业也会被AI代替呢?开个玩笑的 不要太焦虑 好好学习就行 不断提升自己的技能即可 ai是没有感情的 不会完全替代人工的了。这玩意和电脑刚普及的时候一样 具有2面性的用得好 可以认识世界长见识。用的不好,天天玩游戏,颓废从此开始。
audit.rules配置审计规则
11-24
audit.rules是Linux系统中用来配置审计规则的文件。审计规则用于定义需要被系统审计的操作和事件,以便跟踪和监控系统的安全性。 在audit.rules中,可以设置诸如文件访问、用户登录、系统调用、进程创建等各种类型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值