auditd
2022-06-16 16:39:40 8 举报AI智能生成
为你推荐
查看更多
抱歉,暂无相关内容 Auditd(Advanced Audit Daemon)是一个Linux内核审计子系统,用于记录系统上发生的各种事件。它通过插件机制来捕获和分析不同类型的事件,如文件访问、进程创建/终止、用户登录等。Auditd将这些事件记录在审计日志中,以便管理员或安全专家进行审查和分析。此外,Auditd还可以与其他审计工具(如SELinux、AppArmor等)集成,以提供更全面的系统安全保护。总之,Auditd是一个强大的审计工具,可以帮助管理员监控和保护Linux系统的安全。
作者其他创作
大纲/内容
auditd通过配置规则,auditd内核模块按照配置的规则获取审计信息,并发送给auditd记录日志。
简介
配置审计规则
auditctl
查看核生成审计报告
aureport
查找审计事件
ausearch
转发事件通知给其他应用程序,而不是写入到审计日志文件中
auditspd
跟踪进程
autrace
配置命令
守护进程配置文件auditd.conf
/etc/audit/audit.rules(CentOS6)
/etc/audit/rules/audit.rules(CentOS7)
配置规则文件audit.rules
配置文件
/var/log/audit/audit.log
日志文件
相关文件
控制规则
-w path -p [r|w|x|a] -k key
语法
-w 路径
r
w
x
a
-p 权限(省略则默认为rwxa)
-k 关键字(可选项)
参数
auditctl -w /etc/passwd -p w -k passwd
示例
审计文件系统对象
always
never
action
task
exit
user
exclude
filesystem
list
-a 定义一个事件是否被记录
-S 系统调用名,支持多个 -S 参数
-F 附加选项
审计系统调用
审计规则按顺序由上往下匹配
ausyscall --dump
/usr/include/asm/unistd_64.h
系统调用名称查询
规则示例: /usr/share/doc/audit-2.8.5/rules
规则语法
enabled 0 # 未启用
enabled 1 # 启用
enabled 2 # 启用,规则为锁定状态(修改需重启系统)
auditctl -s |grep -i enabled
检查
auditctl -e [0|1|2]
配置
auditd内核模块状态
systemctl status auditd
systemctl enable auditdsystemctl start auditd
auditd 服务状态
查看状态
auditctl -l
查看规则
配置命令(立即生效)
service auditd restart
需要重启服务
augenrules --load 导入 /etc/audit/audit.rules
配置可通过命令
audit.rules
配置文件(重启服务生效)
添加规则
auditctl -D
删除全部规则
auditctl -W
删除单条文件系统对象规则
auditctl -d
删除单条系统调用规则
删除规则
将数字实体转换为文本,如将uid显示为账户名,将时间戳显示为具体时间
-i
只返回给定状态值的事件,默认yes和no都返回
-sv [yes|no]
只显示和指定命令有关的事件
-c cmd
显示指定关键字的事件
-k key
显示给定文件名的事件
-f filename
常用参数
ausearch --start today -m user_login -sv yes -i
登录事件
-l
只返回失败的事件
--failed
只返回成功的事件
--success
所有可执行文件的摘要
aureport --summary -x
所有用户失败事件的摘要
aureport -u --failed --summary -i
检查日志
[第5章 系统审核 Red Hat Enterprise Linux 7 | Red Hat Customer Portal](https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing)
参考链接
auditd
0 条评论
回复 删除
下一页
