audit审计规则配置方法
1.概述
Linux提供了一个审计服务auditd。
默认情况下,开启这个服务只记录较少的资料。
这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。
Linux系统提供了一些配置的例子可以参考。
/usr/share/doc/audit-2.4.5
audit规则可以使用auditctl命令或配置规则文件来实现。
auditctl命令可以立即生效,但是重启服务会丢失配置的规则。
使用配置文件配置,需要在/etc/audit/audit.rules配置文件中添加规则,然后重启auditd服务生效。
2..auditctl命令简介
规则查看:auditctl -l
状态查看:auditctl -s
添加规则:auditctl -w 路径或路径+文件 -p 规则 -k 关键字
例子:
/scripts目录下发生读、写、执行、属性变化进行审计记录:auditctl -w /scripts -p rwxa
/bin目录下发生执行进行审计记录:auditctl -w /bin -p x
添加规则后在查看一下
这次看到2条规则。
-k参数是一个可选项,允许填写一个字符串,说明这个规则的用途,这个字符串在记录后可以用于过滤使用。
定义系统调用规则:auditctl -a action,filter -S system_call -F field=value -k key_name
action和filter 明确一个事件被记录。action可以为always或者never,filter明确出对应的匹配过滤,filter可以为:task,exit,user,exclude
system_call 明确出系统调用的名字,几个系统调用可以写在一个规则里,如-S xxx -S xxx。系统调用的名字可以在/usr/include/asm/unistd_64.h文件中找到
field=value 作为附加选项,修改规则以匹配特定架构、GroupID,ProcessID等的事件。
例子:
定义一个规则,当每次使用系统调用adjtimex或者settimeofday时,并且为64位架构,记录审计日志,命令可以输入如下:
auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
一个文件被user ID为1000或者更大的用户删除,或重命名,记录审计,命令如下:
auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete
注意:-F auid!=4294967295 这个是为了排除login UID没有被设置的用户。
其他命令:
-b设置在内河中audit缓冲空间最大值
-D删除所有规则
-f决定内核如何处理critcal error:0=silent ,1=print ,2=panic,默认1。
-W删除一条规则(和-w对应)
-s输出状态报告
-d删除一条UI规则(和-a对应)
4.编辑规则
基本参数与命令auditctl一致,只需要直接写入配置文件/etc/audit/audit.rules,重启auditd服务即可。
/etc/audit/rules.d下放置的文件,可以被导入到audit.rules配置文件。
导入命令:augenrules --load
audit审计规则配置方法相关推荐
- 使用Audit审计服务排查linux终端异常关机问题
目录 [基本信息] [问题描述] [定位过程] 1,整理规律如下 2,部署audit审计服务定位问题 3,定位后期 [问题原因] [问题解决] [问题小结] 附录 1,audit审计服务部署脚本及其安 ...
- audit详细使用配置
audit是什么 Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全.但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击. ...
- linux audit审计(6)--audit永久生效的规则配置
定义reboot系统后,仍然生效的审计规则,有两种办法: 1.直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/aud ...
- php yii路由规则,Yii框架的路由配置方法分析
本文实例讲述了Yii框架的路由配置方法.分享给大家供大家参考,具体如下: 取消index.php 这两种方法都是在自动添加index.php 方法一:使用.htaccess 添加.htaccess文件 ...
- Linux auditd rules generate 通用linux审计规则生成工具DevOps CI/CD持续集成交付 tools
app name gen-audit-rules linux generate auditd service rules tools Version 1.0 github.com/iotd/gen-a ...
- GBase 8a 审计策略配置
GBase 8a安全管理之审计策略配置: 1. 创建审计策略 创建审计策略的语法规则如下所示: CREATE AUDIT POLICY <audit_policy_name> [(< ...
- ssh日志审计_系统日志说明及audit审计系统
一.日志文件的分类 1.内核及系统日志 由系统服务rsyslog统一进行管理,日志格式基本相似 软件包:rsyslog-5.8.10-8 主要程序:/sbin/rsyslogd 配置文件:/etc/r ...
- 微指令地址的形成方式_交换那些事儿 | 基础维护篇 IPv6地址分类及配置方法
IPv6地址分类及配置方法 H3C交换机基础维护篇 何为IPv6 随着网络的不断扩大和发展,IPv4的地址空间已不能满足需求,因此IPv6协议的应用越来越广泛.那么IPv6地址是如何规范和配置的呢,今 ...
- win2003服务器通过ipsec做防火墙的配置方法
这篇文章主要介绍了win2003服务器通过ipsec做防火墙的配置方法,需要的朋友可以参考下 windows2003系统的防火墙功能较弱,关键是无法使用命令进行配置,这对批量部署会造成很大的工作量,因 ...
最新文章
- Python小游戏(打乒乓)
- Java并发编程—无锁互斥机制及CAS原理
- Marketing Cloud的contact merge机制
- mysql to char 用法_postgresql 中的to_char()常用操作
- CQRS架构下Equinox开源项目分析
- oracle默认导出路径linux,传统路径导出 VS 直接路径导出(oracle exp direct=y)
- 区块链学习笔记:DAY01 区块链的技术原理
- UI\UX实用素材模板|电子商务企业设计十大趋势
- 复制粘贴不连续单元格_表格筛选状态下怎么复制粘贴数据
- java xml开发_JavaWeb开发(XML简介)---3
- ms sqlserver对象、所属用户、所属架构、登陆用户、同义词
- 顶级程序员收藏的数学书
- python wps api_WPS API操作
- 四大逆向工程软件简介
- autofs后 卸载_nfs挂载无法卸载
- 【无标题】Vue长列表性能优化常用方案
- 在html标签中写alert,文本不会写入页面,但会显示在alert()消息中。 JavaScript和HTML...
- dsp版win10和普通版区别_Windows10各个版本有什么不同,如何选择适合自己的Win10系统...
- i1U机架服务器做系统,微星MS-9211 1U 机架式服务器准系统
- muscle多序列比对简单应用
热门文章
- 免费开源GUI:LittlevGL介绍、下载、配置、编译
- 注意,2023年《Nature》将新增3本子刊
- oracle 创建用户且只有查询权限
- 第二章 网站开发基础之HTML教程 - 二、常用HTML标签:frameset,框架集(块级元素)
- 阿里云RocketMQ:No route info of this topic, com.aliyun.openservices.ons.api.exception
- C语言实现——简版扫雷(详解)
- 比小汤山还大1/3的火神山启用了,武汉的床位够用了吗?| DT数说
- 基于数据仓库的证券营业部客户细分分析
- HLSL编程实现PhotoShop滤镜效果
- 明日之后各个地区战斗等级以及资源出产