linux中audit服务,linux下的audit服务
audit [‘??d?t] 审计
auditd是linux的一个审计服务。
这是man下的解释
auditd is the userspace component to the Linux Auditing System. It’s
responsible for writing audit records to the disk. Viewing the logs is
done with the ausearch or aureport utilities. Configuring the audit
rules is done with the auditctl utility. During startup, the rules in
/etc/audit/audit.rules are read by auditctl. The audit daemon itself
has some configuration options that the admin may wish to customize.
They are found in the auditd.conf file.
安全审计包含了两个部分,其一是:audit审计服务,其二是:syslog日志系统。
他们的关系如下:
audit服务专门用来记录安全信息,用于对系统安全事件的追溯;
syslog日志系统用来记录系统中的各种信息,如安全、调试、运行信息等;
如果audit服务没有运行,linux内核就会将安全审计信息传递给syslog日志系统。
syslog会记录系统状态、如硬件的警告和应用软件的记录等。但是syslog属于应用层,且仅止于此一应用而已,没办法记录太多的资讯。因此,audit诞生以取代syslog的责任,来记录核心层的时间:档案的读写,系统呼叫,权限的状态等。
audit daemon运作和一般的deamon一样,运行后会引入selinux的系统。
audit有三个操作的工具
audit可用的三个指令:
=》auditctl 控制kernel audit system,能取得状态,增加或者删除rules、设定某个档案的[检视]watch.
=》ausearch 用来查询audit logs 的工具。
=》aureport 产生audit系统简报的工具。
配置文件
audit的配置文件为/etc/audit/audit.rules主要分为三种类别:
·basic audit system parameters
·file and directory watches
·system call audits
#basic audit system parameters
这个是一些audit的整体全局参数设置
#file and directory watches
这个是目录权限的设置以及是否可以查看某个目录或者文件
#system call audits
这个是用来系统调用的规则配置
对于配置文件有几点要说明一下:
1.目录观察的详细度要比文件观察低。
2.无法使用任何的pathname globbing,如?或者*
3.只能配置已经存在的文件,若配置观察目录而又新增了文件,则新文件只会在下次audit重启后才会加入。
利用-k产生key string 以供ausearch直接索引
-w /etc/var/log/audit/ -k LOG_audit
操作命令
重启audit
#service auditd restart
更新auditd
#yum update audit
检查文件和系统的更改状态
#aureport --start today --event --summary -i
查询单一文件
#ausearch -f filename
利用-ts指定日期-k指定key string,其中password-file使用auditctl -k来产生。
#ausearch -ts today -k password-file
#ausearch -ts 3/12/07 -k password-file
-ui来指定user name(UID),例如找出(uid 516)的操作
#ausearch -ts today -k password-file -x rm -ui 516
#ausearch -k passwork-file -ui 516
转自:http://note.tc.edu.tw/601.html
原文:http://www.cnblogs.com/z-books/p/4112282.html
linux中audit服务,linux下的audit服务相关推荐
- 如何在 Linux 中快速地通过 HTTP 提供文件访问服务
如何在 Linux 中快速地通过 HTTP 提供文件访问服务 转自:https://linux.cn/article-10205-1.html 如今,我有很多方法来通过 Web 浏览器为局域网中的其他 ...
- 深入探讨:linux中遍历文件夹下的所有文件
深入探讨:linux中遍历文件夹下的所有文件 http://www.jb51.net/article/37664.htm
- linux中非法内存,Linux下数组非法访问导致内存破坏 —— 引发segmentation fault的原因...
2012-02-05 wcdj 1, 调试时必需的栈知识 2, 数组非法访问导致内存破坏 调试时必需的栈知识 栈(stack)是程序存放数据的内存区域之一,其特征是LIFO(Last In First ...
- linux线程堆分配,如何在Linux中的相同进程下为线程分配堆栈或内存
Linux中当前的"线程"概念是 NPTL. NPTL使用 clone(),包装 sys_clone().为新的'线程'分配堆栈在用户空间(即libc)中处理,而不是在内核(即Li ...
- linux中vi权限,Linux下文件权限、用户组、VI命令
mkdir命令选项说明 命令中的[选项]一般有以下两种: -m 用于对新建目录设置存取权限,也可以用 chmod 命令进行设置. -p 需要时创建上层文件夹(或目录),如果文件夹(或目录)已经存在,则 ...
- linux中.service文件,linux 服务注册 service文件 在service文件中设置变量和环境变量...
[Unit] Description= #服务描述 After=syslog.target #服务启动依赖 [Service] Type=forking #服务启动类型 可 ...
- linux中 samba服务器配置,linux下samba服务器安装配置方法
linux中samba服务器的安装及其配置,供大家参考,具体内容如下 第一步:下载samba 命令:apt-get install samba apt-get install cifs-utils a ...
- linux中ftp用户,linux中怎么添加ftp用户
Linux下创建用户是很easy的事情了,只不过不经常去做这些操作,时间久了就容易忘记.那么linux中怎么添加ftp用户,下面跟着学习啦小编一起来了解一下吧. linux中怎么添加ftp用户 在li ...
- linux中文件所有者,linux中改变文件所有者的命令是什么
一.使用rpm指令3秒删除PHP所有包在安装所有的框架和安装包时,第一个必须看的就是项目所需环境,可以看到Larave对PHP的版本要求是7.2.5以上.来到虚拟机看看PHP的版本,你可以通 2021 ...
- linux中usb设备名,Linux 中识别 USB 设备名字的 4 种方法
摘要: 对于初学者来说,在 Linux 系统里你必须掌握的技术之一就是识别出插入系统里的各种设备.这也许是你的系统硬盘.外部的存储设备或者是可移动设备,比如 USB 设备或 SD 闪存卡等. 现如今, ...
最新文章
- keras inceptionv1 到 inceptionv4演化
- 3D数学读书笔记——矩阵进阶
- 近业务=困死在一条船上?
- @Select注解的使用
- 谷歌停止对android更新,谷歌停止华为使用安卓系统? 可能影响新系统版本更新?...
- 如何经由PHP获得MySQL procedure结果
- 《算法导论》——矩阵乘法的Strassen算法
- DevExpress 表中数据导出
- 51单片机超声波测距和报警+Proteus仿真
- 微信小程序上传照片加水印
- 微信公众号(获取token 按钮生成 推送消息,微信授权)
- 第三章 基本粒子
- js实现当日期转农历日期
- 关注NBA_周日对阵开拓者
- 物联网与大数据技术-1
- django-外键和表关系
- amCharts下的JS图表
- 基于webrtc的可视对讲系统
- 案例十:03月11日政采云首页无法访问
- 一物一码平台如何解决企业窜货问题?