第15章 配置系统审计

环境配置

1、RHEL6.4 SERVER 10.10.10.221

2、RHEL6.4 CLIENT 10.10.10.223

1、审计使用的服务

[root@teachers rsyslog-keys]# service auditd status

auditd (pid  2004) is running...

2、查看/var/log/audit/audit.log文件的时间命令

[root@student audit]# date --date=@1453146601.704

Mon Jan 18 14:50:01 EST 2016

3、使用auditctl命令创建规则

[root@teachers ~]# auditctl -w /etc/passwd -p rx -F uid=500

[root@teachers ~]# auditctl -l

LIST_RULES: exit,always watch=/etc/passwd perm=rx uid=500 (0x1f4)

4、查看/var/log/audit/audit.log

type=SYSCALL msg=audit(1453838986.588:30574): arch=c000003e syscall=2 success=yes exit=3 a0=7f3d9391f69a a1=80000 a2=1b6 a3=0 items=1 ppid=3001 pid=3002 auid=0 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts1 ses=15 comm="id" exe="/usr/bin/id" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)

type=CWD msg=audit(1453838986.588:30574):  cwd="/home/student"

type=PATH msg=audit(1453838986.588:30574): item=0 name="/etc/passwd" inode=2885884 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:etc_t:s0

5、删除审计使用参数“-D”

[root@student ~]# auditctl -D

No rules

6、创建带关键字的的审计,可以使用关键字进行搜索

[root@student ~]#  auditctl -w /etc/passwd -p rx -F uid=500 -k zhongyaode

[root@student ~]# cat /var/log/audit/audit.log |grep zhongyaode

type=CONFIG_CHANGE msg=audit(1453839635.065:30611): auid=0 ses=2 subj=unconfined_u:unconfined_r:auditctl_t:s0-s0:c0.c1023 op="add rule" key="zhongyaode" list=4 res=1

type=SYSCALL msg=audit(1453839648.036:30616): arch=c000003e syscall=2 success=yes exit=3 a0=7f1fa1a0369a a1=80000 a2=1b6 a3=0 items=1 ppid=3093 pid=3094 auid=0 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts0 ses=2 comm="bash" exe="/bin/bash" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="zhongyaode"

type=SYSCALL msg=audit(1453839648.038:30617): arch=c000003e syscall=2 success=yes exit=3 a0=7f90ba97169a a1=80000 a2=1b6 a3=0 items=1 ppid=3095 pid=3096 auid=0 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts0 ses=2 comm="id" exe="/usr/bin/id" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="zhongyaode"

type=SYSCALL msg=audit(1453839648.046:30618): arch=c000003e syscall=2 success=yes exit=3 a0=7f77d45c669a a1=80000 a2=1b6 a3=0 items=1 ppid=3101 pid=3102 auid=0 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts0 ses=2 comm="id" exe="/usr/bin/id" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="zhongyaode"

type=SYSCALL msg=audit(1453839654.179:30619): arch=c000003e syscall=2 success=yes exit=3 a0=7fffa90888d0 a1=0 a2=7fffa9086980 a3=a items=1 ppid=3094 pid=3117 auid=0 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts0 ses=2 comm="cat" exe="/bin/cat" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="zhongyaode"

7、通过ausearch 命令查询事件号

[root@student ~]# ausearch -i -a 30616

----

type=PATH msg=audit(01/26/2016 15:20:48.036:30616) : item=0 name=/etc/passwd inode=2885884 dev=08:03 mode=file,644 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:etc_t:s0

type=CWD msg=audit(01/26/2016 15:20:48.036:30616) :  cwd=/home/student

type=SYSCALL msg=audit(01/26/2016 15:20:48.036:30616) : arch=x86_64 syscall=open success=yes exit=3 a0=7f1fa1a0369a a1=80000 a2=1b6 a3=0 items=1 ppid=3093 pid=3094 auid=root uid=student gid=student euid=student suid=student fsuid=student egid=student sgid=student fsgid=student tty=pts0 ses=2 comm=bash exe=/bin/bash subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=zhongyaode

8、追踪审计事件

[root@student ~]# autrace /bin/date

Waiting to execute: /bin/date

Tue Jan 26 15:39:33 EST 2016

Cleaning up...

Trace complete. You can locate the records with 'ausearch -i -p 3273'

[root@student ~]# ausearch -i -p 3273 | aureport --file -i

File Report

===============================================

# date time file syscall success exe auid event

===============================================

1. 12/31/1969 19:00:01 (null) inode=664418 dev=08:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:ld_so_t:s0  ? yes ? root 0

9、编写自定义审计规则

[root@teachers ~]# cat /etc/audit/audit.rules |grep 500

-a exit,always -F path=/etc/passwd -F arch=64 -F uid=500 -S all -p rwxa -k zhongyaode

10、练习

1) 配置客户端/etc/rsyslog.conf

[root@student ~]# sed -e '/^#/d'  /etc/rsyslog.conf

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)

$ModLoad imklog   # provides kernel logging support (previously done by rklogd)

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

$IncludeConfig /etc/rsyslog.d/*.conf

*.* @@10.10.10.221:514

$template SpiceTmpl,"%TIMESTAMP%.%TIMESTAMP:::date-subseconds% %syslogtag% %syslogseverity-text%:%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"

:programname, startswith, "spice-vdagent"       /var/log/spice-vdagent.log;SpiceTmpl

留下以上这几行其余都注释掉

2) 配置客户审计

[root@student ~]# sed -e '/^#/d'  /etc/audit/audit.rules

-D

-b 320

-w /etc/passwd -p rwxa -k zhongyaode -F uid=500

3) 重启客户端服务

[root@student ~]# service auditd restart

Stopping auditd: [  OK  ]

Starting auditd: [  OK  ]

4) 查看客户端审计配置

[root@student ~]# auditctl -l

LIST_RULES: exit,always watch=/etc/passwd perm=rwxa uid=500 (0x1f4) key=zhongyaode

5) 清除审计日志

[root@student ~]# > /var/log/audit/audit.log

6) 更改为远程端接收审计日志

[root@student ~]# cat /etc/audisp/plugins.d/syslog.conf

# This file controls the configuration of the syslog plugin.

# It simply takes events and writes them to syslog. The

# arguments provided can be the default priority that you

# want the events written with. And optionally, you can give

# a second argument indicating the facility that you want events

# logged to. Valid options are LOG_LOCAL0 through 7.

active = yes

direction = out

path = builtin_syslog

type = builtin

args = LOG_INFO

format = string

7) 重启审计服务和日志服务

[root@student ~]# service auditd restart

Stopping auditd: [  OK  ]

Starting auditd: [  OK  ]

[root@student ~]# service rsyslog restart

Shutting down system logger: [  OK  ]

Starting system logger: [  OK  ]

8) 配置SERVER端/etc/rsyslog.conf 配置

$ModLoad imtcp

$InputTCPServerRun 514

打开TCP端口

9) 创建配置服务

[root@teachers ~]# vim /etc/rsyslog.d/audit.conf

:fromhost-ip,isequal,"10.10.10.223" /var/log/studentaudit.log

:fromhost-ip,isequal,"10.10.10.223" ~

10) 重启SERVER端rsyslog服务

[root@teachers ~]# service rsyslog restart

Shutting down system logger: [  OK  ]

Starting system logger: [  OK  ]

11) 查看SERVER端rsyslog端口是否启用

[root@teachers ~]# netstat -tunpl|grep :514

tcp        0      0 0.0.0.0:514                 0.0.0.0:*                   LISTEN      4589/rsyslogd

tcp        0      0 :::514                      :::*                        LISTEN      4589/rsyslogd

12) 在SERVER端使用实时跟踪命令跟踪远程审计发出的消息

[root@teachers ~]# tail -f /var/log/studentaudit.log

13) 在CLIENT端上执行命令

[root@student ~]# su - student

14) 在SERVER端上的/var/log/studentaudit.log日志出现信息

Jan 26 16:48:13 student.example.com #026#003#002#000V#001#000#000R#003#002V#02541HD#0241h#031'00#000$#0003#000E#0009#0000#026#0002#000D#0008#0000#023#000f#000/#000A#0005#000

RH413企业安全加固 第15章 配置系统审计相关推荐

  1. RH413企业安全加固 第14章 配置系统日志

    第14章 配置系统日志 环境配置 1.RHEL6.4 SERVER 10.10.10.221 2.RHEL6.4 CLIENT 10.10.10.223 1.配置基于TLS的日志加密 1)查看日志服务 ...

  2. Centos8 使用auditd配置系统审计

    系统管理员使用审计来发现安全违规并跟踪其系统上的安全相关信息.根据预先配置的规则和属性,auditd 生成日志条目以记录有关系统上发生的事件信息.管理员使用此信息来分析安全策略出了什么问题,并通过采取 ...

  3. SAP BW4 410(数据抽取、信息对象、建模等)学习1-5章

    SAP BW4 410学习1-5章 1 Introduction to SAP HANA 1.1 描述SAPHANA的演变和数据布局 1.1.1 Introduction to SAP HANA 1. ...

  4. mysql 5.7.15 安装_mysql 5.7.15 安装配置方法图文教程

    MySQL数据库作为关系型数据库中的佼佼者,因其体积小,速度快,成本低,不仅受到了市场的极大追捧,也受到了广大程序员的青睐.接下来,就给大家说一下,MySQL的下载和安装: 一.MySQL的下载 第一 ...

  5. Spring - Java/J2EE Application Framework 应用框架 第 15 章 EJB的存取和实现

    第 15 章 EJB的存取和实现 作为轻量级的容器,Spring常常被认为是EJB的替代品.我们也相信,对于很多 (不一定是绝大多数)应用和用例,相对于通过EJB容器来实现相同的功能而言, Sping ...

  6. 第15章 SpringBoot集成logging日志

    第15章 SpringBoot集成logging日志 15.1 SLF4J与Logback简介 15.2 spring-boot-starter-logging 15.3 logback-spring ...

  7. 第三次作业:阅读《构建之法》1-5章有感

    这个作业的要求来自于:https://edu.cnblogs.com/campus/gzcc/GZCC-16SE2/homework/2178 阅读<构建之法>1-5章有感 第1章:概论 ...

  8. linux应用程序原理,LINUX原理及应用:第15章 XWindow及Genie应用程序

    <LINUX原理及应用:第15章 XWindow及Genie应用程序>由会员分享,可在线阅读,更多相关<LINUX原理及应用:第15章 XWindow及Genie应用程序(12页珍藏 ...

  9. 《Real-Time Rendering 4th Edition》全文翻译 - 第15章 非真实感渲染(下)15.3 ~ 15.5

    连更两篇,冲鸭! 业余翻译,若有不周到之处,还请多多指教! 实时渲染(第四版)Real-Time Rendering (Fourth Edition) 第15章 非真实感渲染  Chapter 15  ...

最新文章

  1. 2016-8-9更新日志
  2. 十二、八皇后问题(递归回溯)
  3. 转:Object-Runtime的基本数据类型
  4. 测验5: 函数和代码复用 (第5周)
  5. HDU 3699 DFS
  6. Linux DHCP
  7. vue中使用js-cookie
  8. HUE集成Hbase
  9. python queue模块安装_Python -- Queue模块
  10. Qt工作笔记-在QTreeView上实现模型数据的拖拽
  11. Java版单链表讲解
  12. 我的R 之路: R最常见的小基础。。。。。。。。
  13. 极客也可以很亲民,酷炫设计、多变造型的华为智能眼镜即将发布
  14. 如何构建超现实元宇宙空间
  15. 涉外资(外商)公司股权转让有关问题答疑
  16. 入职阿里巴巴,成为年薪百万阿里P7高级架构师需要必备哪些技术栈
  17. cad的lisp画线_CAD画缓和曲线lisp程序
  18. 大前端进阶!NodeJS、Npm、Es6、Babel、Webpack、模块化开发
  19. 虚拟现实在医学领域的应用和发展前景
  20. 初用VScode并配置,自定义代码片段(快捷键),自动格式化代码快捷键,保存格式化代码快捷键

热门文章

  1. Unity中传送带的实现
  2. 呼叫中心电话客服系统搭建的种类除了OKCC外还有哪些?
  3. Python-简介、安装、基础
  4. 有关计算机知识的活动总结,计算机兴趣小组活动总结范文
  5. 百度云爬虫_python
  6. linux脚本程序是什么意思,Linux中$?是什么意思?
  7. step 文件在sw怎么编辑_solidworks如何直接编辑STP文件
  8. 处理器的排名_waste waltz家用垃圾处理器排名图片
  9. SAP-MM知识精解-批次管理(03-02)-批次主数据之视图介绍
  10. WIN10环境下MAVEN的安装与配置