场景

安全最重要的一步是内部安全，如何监控用户的行为是一个永恒不变的话题。
audit可以详细监控用户的行为，详细到查看或修改了某个文件。这些都可以在日志中查看到。

安装

小贴士：
CentOS默认已经安装

yum -y install audit*

开启audit服务

service auditd start     #开启
service auditd stop         #关闭
service auditd restart          #重启

配置文件

vim /etc/audit/auditd.conf

log_file = /var/log/audit/audit.log     #日志保存文件
max_log_file = 6                       #单个日志文件最大占用空间(MB)
max_log_file_action = ROTATE           #日志文件达到最大空间的动作: ROTATE为将旧日志文件重命名,再新建日志文件继续写入
freq = 20                              #每隔20条记录写入日志中(flush = INCREMENTAL时有效)

添加规则

1.临时有效

auditctl -w /bin/rm -p x -k removefile-w #指定所要监控的文件或命令-p #监控属性(如x执行)-k   #指定关键词(方便在日志中查询)-D  #清除规则(临时,不会清除配置文件规则)

2.永久生效

小贴士：
/etc/audit/rules.d/audit.rules为规则配置文件
/etc/audit/audit.rules根据/etc/audit/rules.d/audit.rules里的规则自动生成
所以我们编辑/etc/audit/rules.d/audit.rules就好了

vim vim /etc/audit/rules.d/audit.rules-w /bin/rm -p x -k removefile      #添加这一句
service auditd restart                  #重启服务

查看规则

auditctl -l

查看日志

小贴士：
实验过程中记得把配置文件/etc/audit/auditd.conf中freq设置为1，不然很可能查看不到结果。

方式1-直接查看

cat /var/log/audit/audit.log

例如：运行命令rm -rf /root/123
发现可以详细的看到谁在什么时候对谁干了些什么

字段解释

type=PATH                           #类型
msg=audit(1558846158.888:141)      #时间戳和事件id(同一事件则id相同)

方式2-ausearch

一般查日志的方式很不方便，所以audit给出了非常友好的日志查看命令。

ausearch-i       #显示信息更清晰,比如显示日期而不是时间戳-k     #指定关键词(auditctl -k指定的关键词)-c  commond        #只显示与指令相关日志(如-c rm)

例如：运行命令ausearch -i
可以看到不同事件用----分割开；
显示了日期而不是时间戳；
显示了用户名而不是uid。

Linux安全审计之audit安装与使用相关推荐

1. 用Kickstart批量安装Linux系统、Kickstart安装,linux批量安装；Linux的Kickstart的 无人值守安装；linux pxe自动安装linux系统...

   用Kickstart批量安装Linux|Kickstart,批量安装:Linux的Kickstart的 无人值守安装:linux pxe自动安装linux系统: KickStart + DHCP + ...

2. linux 安全审计功能,Linux安全审计命令

   安全审计 数据分析 capinfos xxx.pcap 产看数据包基本信息 日志分析 who /var/log/wtmp #查看登录用户信息 哈希校验 sha265 文件名 md5sum 文件名 &g ...

3. KALI Linux 的下载与安装

   KALI Linux 的下载与安装 导读: 本文主要讲解了KALI Linux 镜像文件的下载及在VMware虚拟机上安装KALI: 上一篇:VMware虚拟机下载与安装 一.KALI Linux 的 ...

4. 【自学Docker容器二 ● Linux下Dokcer环境安装 】

   Docker自学系列 第一篇 [自学Docker容器一 ● 基础知识 ] 第二篇 [自学Docker容器二 ● Linux下Dokcer环境安装 ] 第三篇 [自学Docker容器三 ● Docker ...

5. Linux(CentOS6.5)中安装maven

   Linux(CentOS6.5)中安装maven 1.上传相关包(*.tar.gz等) 使用相关软件上传或用Xshell连接后下载命令:yum install lrzsz 2.安装maven 1> ...

6. Linux下Tomcat的安装配置

   Linux下Tomcat的安装配置 一.下载安装对应的jdk,并配置Java环境. 官网下载地址: http://www.oracle.com/technetwork/java/javase/down ...

7. linux下从git获取有权限的代码,linux下从源代码安装git

   之所以有这样的需求,是因为部分预安装的git版本太低,很多功能没有并且安全性存在问题. 比如git submodule add xxx@host:yyy.git必须在父repo的root目录安装,而新 ...

8. linux编译安装jpeg,Linux下JPEG库安装脚本(转)

   Linux下JPEG库安装脚本(转)[@more@]该脚本用于在Linux下安装JPEG库,在安装GD库的时候如果没有JPEG库,GD将不能生成JPEG格式的图象. 作者: 何志强#----where ...

9. Linux(centos6.0)下安装Node.js以及使用

   Linux下(centos6.0)安装Node.js 1.wget http://nodejs.org/dist/node-v0.6.9.tar.gz     tar  zxvf node-v0.6. ...

10. suse oracle 12c安装,用半行代码实现在LINUX(SUSE/RH)下安装ORACLE 12C

    最近新到单位的朋友总是抱怨在LINUX下安装ORACLE,实在是太麻烦了,而且这些步骤既不知是什么意思,也记不住:索性,我就分析了一下,经过实践,实现了只用半行代码(确切的说,只消4个字母)就可实现在 ...

最新文章

1. STM32之ADC实例（基于DMA方式）
2. Java学习笔记（一）--JDK环境
3. 弱电机房保温棉知识汇总，它的种类及使用你懂多少？
4. sping jdbc 链接mysql_Spring Boot JDBC 连接数据库示例
5. sql 两个表列包含_Oracle数据库扩展语言PL/SQL之运算符
6. 2016年4月20日作业
7. redhat9.0配置apache 出现乱码
8. java 修改字体大小
9. 非直连方式下C语言程序与数据库的消息交互流程
10. screwing up
11. Rust FFI 编程 - Rust 语言层面对 FFI 的支持
12. python批量查询(excel)数据
13. gyp ERR! stack Error: Can't find Python executable python, you can set the PYT HON env variable.
14. 关于let你不知道的知识点——红宝石书笔记记录
15. ubuntu 屏幕旋转与重力感应
16. 如何在网页中屏蔽右键
17. 软件工程第四次作业-四则运算试题生成
18. JavaEE学习路线（经典必看）
19. c语言第4份实验报告,C语言实验报告（四）
20. EasyCVR视频广场可以播放WebRTC，设备中却无法播放是什么原因？

热门文章

1. 面试：1.C#中的委托是什么？事件是一种委托吗？
2. 用php循环星期一到星期日,在PHP 4中获取当前星期的星期一的日期
3. 双系统linux开机黑屏,解决双系统中ubuntu开关机异常，黑屏，出现“nouveau , SCHED_ERROR”字样等的问题...
4. centos7安装boost记录
5. [HOJ1864]Fibonacci
6. SPR EAD NET 6
7. Python遥感开发之GDAL读写遥感影像
8. 360压缩加密压缩文件
9. detached entity passed to persist:xxx；
10. Ubuntu中解决机箱前置耳机没声音