Linux安全审计之audit安装与使用
场景
安全最重要的一步是内部安全,如何监控用户的行为是一个永恒不变的话题。
audit可以详细监控用户的行为,详细到查看或修改了某个文件。这些都可以在日志中查看到。
安装
小贴士:
CentOS默认已经安装
yum -y install audit*
开启audit服务
service auditd start #开启
service auditd stop #关闭
service auditd restart #重启
配置文件
vim /etc/audit/auditd.conf
log_file = /var/log/audit/audit.log #日志保存文件
max_log_file = 6 #单个日志文件最大占用空间(MB)
max_log_file_action = ROTATE #日志文件达到最大空间的动作: ROTATE为将旧日志文件重命名,再新建日志文件继续写入
freq = 20 #每隔20条记录写入日志中(flush = INCREMENTAL时有效)
添加规则
1.临时有效
auditctl -w /bin/rm -p x -k removefile-w #指定所要监控的文件或命令-p #监控属性(如x执行)-k #指定关键词(方便在日志中查询)-D #清除规则(临时,不会清除配置文件规则)
2.永久生效
小贴士:
/etc/audit/rules.d/audit.rules为规则配置文件
/etc/audit/audit.rules根据/etc/audit/rules.d/audit.rules里的规则自动生成
所以我们编辑/etc/audit/rules.d/audit.rules就好了
vim vim /etc/audit/rules.d/audit.rules-w /bin/rm -p x -k removefile #添加这一句
service auditd restart #重启服务
查看规则
auditctl -l
查看日志
小贴士:
实验过程中记得把配置文件/etc/audit/auditd.conf中freq设置为1,不然很可能查看不到结果。
方式1-直接查看
cat /var/log/audit/audit.log
例如:运行命令rm -rf /root/123
发现可以详细的看到谁在什么时候对谁干了些什么
字段解释
type=PATH #类型
msg=audit(1558846158.888:141) #时间戳和事件id(同一事件则id相同)
方式2-ausearch
一般查日志的方式很不方便,所以audit给出了非常友好的日志查看命令。
ausearch-i #显示信息更清晰,比如显示日期而不是时间戳-k #指定关键词(auditctl -k指定的关键词)-c commond #只显示与指令相关日志(如-c rm)
例如:运行命令ausearch -i
可以看到不同事件用----分割开;
显示了日期而不是时间戳;
显示了用户名而不是uid。
Linux安全审计之audit安装与使用相关推荐
- 用Kickstart批量安装Linux系统、Kickstart安装,linux批量安装;Linux的Kickstart的 无人值守安装;linux pxe自动安装linux系统...
用Kickstart批量安装Linux|Kickstart,批量安装:Linux的Kickstart的 无人值守安装:linux pxe自动安装linux系统: KickStart + DHCP + ...
- linux 安全审计功能,Linux安全审计命令
安全审计 数据分析 capinfos xxx.pcap 产看数据包基本信息 日志分析 who /var/log/wtmp #查看登录用户信息 哈希校验 sha265 文件名 md5sum 文件名 &g ...
- KALI Linux 的下载与安装
KALI Linux 的下载与安装 导读: 本文主要讲解了KALI Linux 镜像文件的下载及在VMware虚拟机上安装KALI: 上一篇:VMware虚拟机下载与安装 一.KALI Linux 的 ...
- 【自学Docker容器二 ● Linux下Dokcer环境安装 】
Docker自学系列 第一篇 [自学Docker容器一 ● 基础知识 ] 第二篇 [自学Docker容器二 ● Linux下Dokcer环境安装 ] 第三篇 [自学Docker容器三 ● Docker ...
- Linux(CentOS6.5)中安装maven
Linux(CentOS6.5)中安装maven 1.上传相关包(*.tar.gz等) 使用相关软件上传或用Xshell连接后下载命令:yum install lrzsz 2.安装maven 1> ...
- Linux下Tomcat的安装配置
Linux下Tomcat的安装配置 一.下载安装对应的jdk,并配置Java环境. 官网下载地址: http://www.oracle.com/technetwork/java/javase/down ...
- linux下从git获取有权限的代码,linux下从源代码安装git
之所以有这样的需求,是因为部分预安装的git版本太低,很多功能没有并且安全性存在问题. 比如git submodule add xxx@host:yyy.git必须在父repo的root目录安装,而新 ...
- linux编译安装jpeg,Linux下JPEG库安装脚本(转)
Linux下JPEG库安装脚本(转)[@more@]该脚本用于在Linux下安装JPEG库,在安装GD库的时候如果没有JPEG库,GD将不能生成JPEG格式的图象. 作者: 何志强#----where ...
- Linux(centos6.0)下安装Node.js以及使用
Linux下(centos6.0)安装Node.js 1.wget http://nodejs.org/dist/node-v0.6.9.tar.gz tar zxvf node-v0.6. ...
- suse oracle 12c安装,用半行代码实现在LINUX(SUSE/RH)下安装ORACLE 12C
最近新到单位的朋友总是抱怨在LINUX下安装ORACLE,实在是太麻烦了,而且这些步骤既不知是什么意思,也记不住:索性,我就分析了一下,经过实践,实现了只用半行代码(确切的说,只消4个字母)就可实现在 ...
最新文章
- STM32之ADC实例(基于DMA方式)
- Java学习笔记(一)--JDK环境
- 弱电机房保温棉知识汇总,它的种类及使用你懂多少?
- sping jdbc 链接mysql_Spring Boot JDBC 连接数据库示例
- sql 两个表列包含_Oracle数据库扩展语言PL/SQL之运算符
- 2016年4月20日作业
- redhat9.0配置apache 出现乱码
- java 修改字体大小
- 非直连方式下C语言程序与数据库的消息交互流程
- screwing up
- Rust FFI 编程 - Rust 语言层面对 FFI 的支持
- python批量查询(excel)数据
- gyp ERR! stack Error: Can't find Python executable python, you can set the PYT HON env variable.
- 关于let你不知道的知识点——红宝石书笔记记录
- ubuntu 屏幕旋转与重力感应
- 如何在网页中屏蔽右键
- 软件工程第四次作业-四则运算试题生成
- JavaEE学习路线(经典必看)
- c语言第4份实验报告,C语言实验报告(四)
- EasyCVR视频广场可以播放WebRTC,设备中却无法播放是什么原因?
热门文章
- 面试:1.C#中的委托是什么?事件是一种委托吗?
- 用php循环星期一到星期日,在PHP 4中获取当前星期的星期一的日期
- 双系统linux开机黑屏,解决双系统中ubuntu开关机异常,黑屏,出现“nouveau , SCHED_ERROR”字样等的问题...
- centos7安装boost记录
- [HOJ1864]Fibonacci
- SPR EAD NET 6
- Python遥感开发之GDAL读写遥感影像
- 360压缩加密压缩文件
- detached entity passed to persist:xxx;
- Ubuntu中解决机箱前置耳机没声音