Linux安全审计功能的实现—audit命令

最新推荐文章于 2024-06-01 10:30:00 发布
最新推荐文章于 2024-06-01 10:30:00 发布
阅读量8.2k 收藏 30
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunweimao/article/details/106688063
版权

1、简介

我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员工的操作行为就需要开启审计功能,也就是audit。

2、安装及查看运行状态

 [root@RedHat_test ~]# yum install audit
 [root@RedHat_test ~]# service auditd status
 Redirecting to /bin/systemctl status auditd.service
 ● auditd.service -Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since 一 2020-02-1016:55:56 CST; 29s ago
     Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
 Process: 30174ExecStartPost=/sbin/augenrules --load(code=exited, status=0/SUCCESS)
 Process: 30169ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
 Main PID: 30170(auditd)
   CGroup: /system.slice/auditd.service
           └─30170 /sbin/auditd
           
 # 查看auditd的服务状态的另一种方式
 [root@RedHat_test ~]# auditctl -s
 enabled 1
 failure 1
 pid 30170
 rate_limit 0
 backlog_limit 8192
 lost 0
 backlog 0
 loginuid_immutable 0unlocked
 ----------------------------------------------------------------------------------------
 enabled为1表示开启,0表示关闭

3、auditd的相关的工具

 auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。
 /etc/audit/audit.rules : 记录审计规则的文件。
 aureport : 查看和生成审计报告的工具。
 ausearch : 查找审计事件的工具
 auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。
 autrace : 一个用于跟踪进程的命令。
 /etc/audit/auditd.conf : auditd工具的配置文件。

4、首次安装 auditd 后, 审计规则是空的

 [root@RedHat_test ~]# auditctl -l
 No rules

5、Auditd监控文件和目录的更改

 [root@RedHat_test ~]# auditctl -w /etc/passwd -p rwxa
 -wpath : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
 -p: 指定触发审计的文件/目录的访问权限
 rwxa :指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

6、Auditctl对目录进行审计

 [root@RedHat_test ~]# mkdir yunweimao
 [root@RedHat_test ~]# auditctl -w /yunweimao/

7、查看已配置的规则

 [root@RedHat_test ~]# auditctl -l
 -w/etc/passwd -prwxa
 -w/yunweimao -prwxa

8、使用 ausearch 工具查看审计日志

1.用-f 设定ausearch 调出 /etc/passwd文件的审计内容
 [root@RedHat_test ~]# ausearch -f /etc/passwd
 ----
 time->Mon Feb 1012:28:01 2020
 type=PROCTITLE msg=audit(1581308881.667:110795): proctitle=2F7573722F7362696E2F63726F6E64002D6E
 type=PATH msg=audit(1581308881.667:110795): item=0name="/etc/passwd"inode=134782786dev=fd:00 mode=0100644ouid=0ogid=0rdev=00:00 obj=system_u:object_r:passwd_file_t:s0 objtype=NORMAL cap_fp=0000000000000000cap_fi=0000000000000000cap_fe=0cap_fver=0
 type=CWD msg=audit(1581308881.667:110795):  cwd="/"
 type=SYSCALL msg=audit(1581308881.667:110795): arch=c000003e syscall=2success=yesexit=3a0=7f817d9f94d2 a1=80000a2=1b6 a3=24items=1ppid=2240pid=26958auid=4294967295uid=0gid=0euid=0suid=0fsuid=0egid=0sgid=0fsgid=0tty=(none) ses=4294967295comm="crond"exe="/usr/sbin/crond"subj=system_u:system_r:crond_t:s0-s0:c0.c1023 key=(null)
 ----
 ----------------------------------------------------------------------------------------
 time : 审计时间。
 name : 审计对象
 cwd : 当前路径
 syscall : 相关的系统调用
 auid : 审计用户ID
 uid 和 gid : 访问文件的用户ID和用户组ID
 comm : 用户访问文件的命令
 exe : 上面命令的可执行文件路径
2.修改监控文件添加一个用户,看看auditd如何记录文件 /etc/passwd的改动的
 [root@RedHat_test ~]# useradd ywm
 [root@RedHat_test ~]# ausearch -f /etc/passwd
 ----
 time->Mon Feb 1012:38:43 2020
 type=PROCTITLE msg=audit(1581309523.266:111048): proctitle=757365726164640079776D
 type=PATH msg=audit(1581309523.266:111048): item=0name="/etc/passwd"inode=134782786dev=fd:00 mode=0100644ouid=0ogid=0rdev=00:00 obj=system_u:object_r:passwd_file_t:s0 objtype=NORMAL cap_fp=0000000000000000cap_fi=0000000000000000cap_fe=0cap_fver=0
 type=CWD msg=audit(1581309523.266:111048):  cwd="/root"
 type=SYSCALL msg=audit(1581309523.266:111048): arch=c000003e syscall=2success=yesexit=4a0=7fc97e4cd4d2 a1=80000a2=1b6 a3=24items=1ppid=25306pid=27066auid=0uid=0gid=0euid=0suid=0fsuid=0egid=0sgid=0fsgid=0tty=pts0 ses=11383comm="useradd"exe="/usr/sbin/useradd"subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
 ----------------------------------------------------------------------------------------
 在指定的时间,/etc/passwd 被root用户(uid=0, gid=0)在/root目录下修改。/etc/passwd 文件是使用/usr/sbin/useradd 访问的

9、监控目录是否有变动

1.ausearch去查看日志的时候会发现什么都没有
 [root@RedHat_test /]# mkdir test
 [root@RedHat_test /]# auditctl -w /test/
 [root@RedHat_test /]# ausearch -f /test/
 <no matches>
2.使用root账户修改目录权限
 [root@RedHat_test /]# chmod -R 777 /test/
 [root@RedHat_test /]# ausearch -f /test/
 ----
 time->Mon Feb 1016:34:51 2020
 type=PROCTITLE msg=audit(1581323691.872:117185): proctitle=63686D6F64002D5200373737002F746573742F
 type=PATH msg=audit(1581323691.872:117185): item=0name="/test/"inode=268886168dev=fd:00 mode=040777ouid=0ogid=0rdev=00:00 obj=unconfined_u:object_r:default_t:s0 objtype=NORMAL cap_fp=0000000000000000cap_fi=0000000000000000cap_fe=0cap_fver=0
 type=CWD msg=audit(1581323691.872:117185):  cwd="/"
 type=SYSCALL msg=audit(1581323691.872:117185): arch=c000003e syscall=257success=yesexit=3a0=ffffffffffffff9c a1=1020100a2=10900a3=0items=1ppid=29678pid=29913auid=0uid=0gid=0euid=0suid=0fsuid=0egid=0sgid=0fsgid=0tty=pts0 ses=11716comm="chmod"exe="/usr/bin/chmod"subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
 ----

10、查看审计报告

aureport 是使用系统审计日志生成简要报告的工具。我们已经配置auditd去跟踪/etc/passwd文件。auditd参数设置后一段时间后,audit.log 文件就创建出来了。生成审计报告,我们可以使用aureport工具。不带参数运行的话,可以生成审计活动的概述。

 [root@RedHat_test ~]# aureport 
 
 Summary Report
 ======================
 Range of time inlogs: 1970年01月01日 08:00:00.000 -2020年02月10日 16:40:10.014
 Selected time forreport: 1970年01月01日 08:00:00 -2020年02月10日 16:40:10.014
 Number of changes inconfiguration: 10
 Number of changes to accounts, groups, or roles: 6
 Number of logins: 3779
 Number of failed logins: 0
 Number of authentications: 978
 Number of failed authentications: 486
 Number of users: 2
 Number of terminals: 12
 Number of host names: 6
 Number of executables: 18
 Number of commands: 18
 Number of files: 5
 Number of AVC's: 0
 Number of MAC events: 490
 Number of failed syscalls: 0
 Number of anomaly events: 0
 Number of responses to anomaly events: 0
 Number of crypto events: 16226
 Number of integrity events: 0
 Number of virt events: 0
 Number of keys: 0
 Number of process IDs: 16294
 Number of events: 134330
 ----------------------------------------------------------------------------------------
 看出有 486次授权失败。使用aureport,我们可以深入查看这些信息

11、查看授权失败的详细信息

 [root@RedHat_test ~]# aureport -au
 
 Authentication Report
 ============================================
 # date time acct host term exe success event
 ============================================
 1. 2020年01月09日 19:04:38 root 10.101.0.194 ssh/usr/sbin/sshd no 550
 2. 2020年01月09日 19:04:38 root 10.101.0.194 ssh/usr/sbin/sshd yes551
 3. 2020年01月09日 19:04:38 root 10.101.0.194 ssh/usr/sbin/sshd yes554
 4. 2020年01月09日 21:05:17 root 10.101.0.194 ssh/usr/sbin/sshd no 816
 5. 2020年01月09日 21:05:17 root 10.101.0.194 ssh/usr/sbin/sshd yes817
 6. 2020年01月09日 21:05:17 root 10.101.0.194 ssh/usr/sbin/sshd yes820
 7. 2020年01月09日 22:04:57 root 10.101.0.194 ssh/usr/sbin/sshd no 991

12、查看所有账户与修改相关的事件

 [root@RedHat_test ~]# aureport -m
 
 Account Modifications Report
 =================================================
 # date time auid addr term exe acct success event
 =================================================
 1. 2020年02月10日 11:47:18 0? ? /usr/sbin/groupadd ? yes110357
 2. 2020年02月10日 11:47:18 0? ? /usr/sbin/groupadd ? yes110358
 3. 2020年02月10日 11:47:18 0? ? /usr/sbin/useradd ? yes110359
 4. 2020年02月10日 12:38:43 0RedHat_test pts/0 /usr/sbin/useradd ywm yes111051
 5. 2020年02月10日 12:38:43 0RedHat_test pts/0 /usr/sbin/useradd ? yes111053
 6. 2020年02月10日 12:38:43 0RedHat_test pts/0 /usr/sbin/useradd ? yes111056

13、清空定义的规则

 [root@RedHat_test ~]# auditctl -D
 No rules
 [root@RedHat_test ~]# auditctl -l
 No rules

如果文章有任何错误欢迎不吝赐教,其次大家有任何关于运维的疑难杂问,也欢迎和大家一起交流讨论。关于运维学习、分享、交流,笔者开通了微信公众号【运维猫】,感兴趣的朋友可以关注下,欢迎加入,建立属于我们自己的小圈子,一起学运维知识。群主还经营一家猫小铺饰品店,喜欢的小伙伴欢迎????前来下单。

扫描二维码

获取更多精彩

运维猫公众号

有需要技术交流的小伙伴可以加我微信,期待与大家共同成长,本人微信:

扫描二维码

添加私人微信

运维猫博主

扫码加微信

最近有一些星友咨询我知识星球的事,我也想继续在星球上发布更优质的内容供大家学习和探讨。运维猫公众号平台致力于为大家提供免费的学习资源,知识星球主要致力于即将入坑或者已经入坑的运维行业的小伙伴。

点击阅读原文  查看更多精彩内容!!!

IT运维大爆炸(运维开发)
关注
  • 3
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux安全审计功能实现——audit详解
u012759006的博客
04-29 1万+
1、安装: centos默认安装,Ubuntu:sudo apt-get install auditd 2、开启auditd服务: service auditd start 3、查看当前auditd服务状态: service auditd status auditctl -s 4、重启auditd服务: service auditd restart 或 service audi...
Linux安全审计audit 系统审计 记录root操作
河静
09-24 3884
Linux安全审计audit 系统审计 1.审计介绍 Linux 审计系统提供了一种跟踪系统上与安全相关的信息的方法。根据预先配置的规则,Audit 会生成日志条目,以尽可能多地记录有关系统上发生的事件的信息。此信息对于关键任务环境确定安全策略的违反者及其执行的操作至关重要。审计不会为您的系统提供额外的安全性;相反,它可用于发现违反您系统上使用的安全策略的情况。可以通过其他安全措施(例如 SELinux)进一步防止这些违规行为。 audit能够在日志中记录的信息有: 时间的日期时间、类型和结果 主体和
ansible-auditd:设置和配置linux auditd
05-04
Linux经过审核的角色 Ansible角色,用于设置和配置linux auditd。 可能的。 要求和依存关系 Ansible 已在以下版本上进行了测试: 2.2 2.5 2.10 操作系统 Ubuntu 16.04、18.04、20.04 Centos 7、8 Suse 12.x,15.x 剧本范例 只需将此角色包括在您的列表中即可。 例如 - hosts: all roles: - juju4.auditd 变数 现在没有什么特别的。 持续集成 这个角色有一个travis基本测试(适用于github),更先进于kitchen,还有一个Vagrantfile(测试/无用)。 默认的厨房配置(.kitchen.yml)是基于lxd的,而(.kitchen.vagrant.yml)是基于vagrant / virtualbox的。 一旦确保所有必要的角色都存在,
由于audit.d导致的服务器空间问题解决
annicybc的专栏
09-26 3826
/var/log/audit.d占用了近6G的空间,查了一下资料Audit是系统中的一个服务,属于laus-0.1-65RHEL3这个包。laus是Linux Audit-Subsystem (LAuS)的缩写。这一服务用来审计系统调用的纪录,并把记录写入文件当中。相关文件:/sbin/auditd 守护程序/etc/audit/audit.conf 守护程序的默认配置文件/etc/aud
安全linux audit审计使用入门
最新发布
qq_44005305的博客
06-01 848
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
技术分享 | Linux 入侵检测中的进程创建监控
wsfcc的专栏
09-06 992
转载自:看雪专栏 作者简介:张博,网易高级信息安全工程师。 0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。 本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。 0x01 常见方式 目前来看,常见的获取进程创建的信息的方式有以下四种: So preload Netlink .
【操作系统】安全审计-audit
Sanayeah的博客
11-16 3702
auditLinux内核提供的一种审计机制,由于audit是内核提供的,因此,在使用audit的过程中就包含内核空间和用户空间部分auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志通常的使用流程用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。
linux审计子系统:内核层执行原理
大昱的博客
10-27 1628
linux审计子系统用于记录内核部分子模块及应用层(应用程序)的运行状态,如文件系统、进程、systemd应用的执行进展、遇到的问题等信息。审计子系统通过netlink与auditd应用建立kernel audit直接的通信,并通过auditd把信息写入/var/log/audit/audit.log文件(默认地址,可以设置)。 linux审计子系统内核部分设计相对较为简单,甚至内核文档都没有找到关于它的单独描述(只找到了它的函数定义描述)。
Linux操作系统之安全审计功能-Audit
10-10
Linux操作系统在保障系统安全方面扮演着重要角色,而Audit系统则是Linux中用于实现安全审计的核心组件。本文将深入探讨Linux中的Audit功能,特别是在Kylin Linux Advanced Server release V10 (Tercel)环境下如何...
linux安全审计扫描工具-Lynis
08-15
总的来说,Lynis作为一款强大的Linux安全审计工具,通过其丰富的功能和高度可定制性,为维护和提升Linux系统的安全性提供了有力的支持。无论是进行常规的安全检查还是应对特定的安全挑战,Lynis都能成为管理员们的...
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
Linux虚拟机的安全审计-bruce1
08-08
本篇将详细介绍如何在Linux虚拟机上设置安全审计,以便更好地监控系统行为,预防和解决潜在的安全问题。 首先,我们要了解Linux安全审计系统的核心组件——`auditd`服务。`auditd`是Linux内核审计子系统的用户空间...
03: 系统审计 服务安全 Linux安全之打补丁.docx
07-15
【系统审计服务安全】在Linux系统中,确保安全的一个重要环节是进行系统审计,以便及时发现和记录潜在的安全威胁。审计服务能够跟踪和记录系统中的关键活动,包括文件的修改、用户登录、权限变更等,从而帮助管理员...
Linux内核:进程管理——安全审计
m0_74282605的博客
04-17 1415
audit.rules 是 audit 的规则文件,确定 audit 的日志中记录哪些操作。syslog记录的信息有限,主要目的是软件调试,跟踪和打印软件的运行状态,而audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
Linux安全auditd审计工具使用说明
月生的静心苑
11-28 5995
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
Linux系统安全--安全审计audit
u012967763的专栏
01-12 2291
1、audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs)。syslog记...
linux 安全审计 数据保护
11-25
Linux安全审计和数据保护是Linux系统中非常重要的一部分,以下是一些相关的方法和步骤: 1. SELinuxLinux系统中的一个强制访问控制(MAC)系统,它可以限制进程只能访问它被授权的资源。可以通过以下命令来检查SELinux是否开启: ```shell sestatus ``` 如果SELinux处于enforcing模式,则表示它正在强制执行安全策略。如果SELinux处于permissive模式,则表示它只记录违规行为而不强制执行安全策略。如果SELinux处于disabled模式,则表示它已被完全禁用。 2. 可以使用Linux Audit框架来记录系统上发生的安全事件。可以使用以下命令来检查Linux Audit是否已安装: ```shell rpm -q audit ``` 如果未安装,则可以使用以下命令安装: ```shell yum install audit ``` 安装完成后,可以使用以下命令来启用Linux Audit: ```shell systemctl enable auditd.service systemctl start auditd.service ``` 然后,可以使用以下命令来查看Linux Audit日志: ```shell ausearch -m USER_AUTH ``` 这将显示所有与用户身份验证相关的事件。 3. 可以使用Linux系统中的加密文件系统来保护敏感数据。可以使用以下命令来创建一个加密文件系统: ```shell cryptsetup luksFormat /dev/sdb1 cryptsetup luksOpen /dev/sdb1 my_encrypted_fs mkfs.ext4 /dev/mapper/my_encrypted_fs mount /dev/mapper/my_encrypted_fs /mnt/my_encrypted_fs ``` 这将创建一个名为my_encrypted_fs的加密文件系统,并将其挂载到/mnt/my_encrypted_fs目录中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值