1.概述

Linux提供了一个审计服务auditd。

默认情况下,开启这个服务只记录较少的资料。

这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。

Linux系统提供了一些配置的例子可以参考。

/usr/share/doc/audit-2.4.5

audit规则可以使用auditctl命令或配置规则文件来实现。

auditctl命令可以立即生效,但是重启服务会丢失配置的规则。

使用配置文件配置,需要在/etc/audit/audit.rules配置文件中添加规则,然后重启auditd服务生效。

2..auditctl命令简介

规则查看:auditctl -l

状态查看:auditctl -s

添加规则:auditctl -w 路径或路径+文件 -p 规则 -k 关键字

例子:

/scripts目录下发生读、写、执行、属性变化进行审计记录:auditctl -w /scripts -p rwxa

/bin目录下发生执行进行审计记录:auditctl -w /bin -p x

添加规则后在查看一下

这次看到2条规则。

-k参数是一个可选项,允许填写一个字符串,说明这个规则的用途,这个字符串在记录后可以用于过滤使用。

定义系统调用规则:auditctl -a  action,filter -S system_call -F field=value -k key_name

action和filter 明确一个事件被记录。action可以为always或者never,filter明确出对应的匹配过滤,filter可以为:task,exit,user,exclude

system_call 明确出系统调用的名字,几个系统调用可以写在一个规则里,如-S xxx -S xxx。系统调用的名字可以在/usr/include/asm/unistd_64.h文件中找到

field=value 作为附加选项,修改规则以匹配特定架构、GroupID,ProcessID等的事件。

例子:

定义一个规则,当每次使用系统调用adjtimex或者settimeofday时,并且为64位架构,记录审计日志,命令可以输入如下:

auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
一个文件被user ID为1000或者更大的用户删除,或重命名,记录审计,命令如下:

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete
注意:-F auid!=4294967295 这个是为了排除login UID没有被设置的用户。

其他命令:

-b设置在内河中audit缓冲空间最大值

-D删除所有规则

-f决定内核如何处理critcal error:0=silent ,1=print ,2=panic,默认1。

-W删除一条规则(和-w对应)

-s输出状态报告

-d删除一条UI规则(和-a对应)

4.编辑规则

基本参数与命令auditctl一致,只需要直接写入配置文件/etc/audit/audit.rules,重启auditd服务即可。

/etc/audit/rules.d下放置的文件,可以被导入到audit.rules配置文件。

导入命令:augenrules --load

audit审计规则配置方法相关推荐

  1. 使用Audit审计服务排查linux终端异常关机问题

    目录 [基本信息] [问题描述] [定位过程] 1,整理规律如下 2,部署audit审计服务定位问题 3,定位后期 [问题原因] [问题解决] [问题小结] 附录 1,audit审计服务部署脚本及其安 ...

  2. audit详细使用配置

    audit是什么 Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全.但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击. ...

  3. linux audit审计(6)--audit永久生效的规则配置

    定义reboot系统后,仍然生效的审计规则,有两种办法: 1.直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/aud ...

  4. php yii路由规则,Yii框架的路由配置方法分析

    本文实例讲述了Yii框架的路由配置方法.分享给大家供大家参考,具体如下: 取消index.php 这两种方法都是在自动添加index.php 方法一:使用.htaccess 添加.htaccess文件 ...

  5. Linux auditd rules generate 通用linux审计规则生成工具DevOps CI/CD持续集成交付 tools

    app name gen-audit-rules linux generate auditd service rules tools Version 1.0 github.com/iotd/gen-a ...

  6. GBase 8a 审计策略配置

    GBase 8a安全管理之审计策略配置: 1. 创建审计策略 创建审计策略的语法规则如下所示: CREATE AUDIT POLICY <audit_policy_name> [(< ...

  7. ssh日志审计_系统日志说明及audit审计系统

    一.日志文件的分类 1.内核及系统日志 由系统服务rsyslog统一进行管理,日志格式基本相似 软件包:rsyslog-5.8.10-8 主要程序:/sbin/rsyslogd 配置文件:/etc/r ...

  8. 微指令地址的形成方式_交换那些事儿 | 基础维护篇 IPv6地址分类及配置方法

    IPv6地址分类及配置方法 H3C交换机基础维护篇 何为IPv6 随着网络的不断扩大和发展,IPv4的地址空间已不能满足需求,因此IPv6协议的应用越来越广泛.那么IPv6地址是如何规范和配置的呢,今 ...

  9. win2003服务器通过ipsec做防火墙的配置方法

    这篇文章主要介绍了win2003服务器通过ipsec做防火墙的配置方法,需要的朋友可以参考下 windows2003系统的防火墙功能较弱,关键是无法使用命令进行配置,这对批量部署会造成很大的工作量,因 ...

最新文章

  1. Python小游戏(打乒乓)
  2. Java并发编程—无锁互斥机制及CAS原理
  3. Marketing Cloud的contact merge机制
  4. mysql to char 用法_postgresql 中的to_char()常用操作
  5. CQRS架构下Equinox开源项目分析
  6. oracle默认导出路径linux,传统路径导出 VS 直接路径导出(oracle exp direct=y)
  7. 区块链学习笔记:DAY01 区块链的技术原理
  8. UI\UX实用素材模板|电子商务企业设计十大趋势
  9. 复制粘贴不连续单元格_表格筛选状态下怎么复制粘贴数据
  10. java xml开发_JavaWeb开发(XML简介)---3
  11. ms sqlserver对象、所属用户、所属架构、登陆用户、同义词
  12. 顶级程序员收藏的数学书
  13. python wps api_WPS API操作
  14. 四大逆向工程软件简介
  15. autofs后 卸载_nfs挂载无法卸载
  16. 【无标题】Vue长列表性能优化常用方案
  17. 在html标签中写alert,文本不会写入页面,但会显示在alert()消息中。 JavaScript和HTML...
  18. dsp版win10和普通版区别_Windows10各个版本有什么不同,如何选择适合自己的Win10系统...
  19. i1U机架服务器做系统,微星MS-9211 1U 机架式服务器准系统
  20. muscle多序列比对简单应用

热门文章

  1. 免费开源GUI:LittlevGL介绍、下载、配置、编译
  2. 注意,2023年《Nature》将新增3本子刊
  3. oracle 创建用户且只有查询权限
  4. 第二章 网站开发基础之HTML教程 - 二、常用HTML标签:frameset,框架集(块级元素)
  5. 阿里云RocketMQ:No route info of this topic, com.aliyun.openservices.ons.api.exception
  6. C语言实现——简版扫雷(详解)
  7. 比小汤山还大1/3的火神山启用了,武汉的床位够用了吗?| DT数说
  8. 基于数据仓库的证券营业部客户细分分析
  9. HLSL编程实现PhotoShop滤镜效果
  10. 明日之后各个地区战斗等级以及资源出产