一、审计就是根据事先的规则,记录用户在Linux系统中的一系列操作,例如登录,修改文件,等等,能够进行事后的查证工作
审计能够记录的日志内容:
1.日期与事件以及事件的结果
2.触发事件的用户
3.所有认证机制的使用都可以被记录,如ssh等
4.对关键数据文件的修改行为等都可以被记录
注:这四点来源于网络
二、配置audit审计软件
yum -y install audit //安装audit软件包
cat /etc/audit/auditd.conf //查看audit配置文件
log_file = /var/log/audit/audit.log //查看配置文件中的日志路径,可修改
systemctl start auditd //启动audit服务,并设置开机自启
systemctl enable auditd
1.定义临时文件系统规则:
语法格式:auditctl -w 路径 -p 权限 -k 名称
//路径是需要审计的目录路径
//权限可以是r,w,x,a 注:a是文件目录属性变化的权限
//名称是给该条规则取名
例:
auditctl -w /usr/sbin/fdisk -p x -k disk_partition
auditclt -w /etc/ssh/sshd_conf -p warx -k sshd_config
auditctl -w /etc/passwd -p wa -k passwd_change
auditctl -w /etc/selinux/ -p wa -k selinux_change
auditctl -s //查询状态
auditctl -l //查看规则
auditctl -D //删除所有规则
注意:如果需要创建永久审计规则,则需要修改规则配置文件
vim /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_changes
-w /usr/sbin/fdisk -p x -k partition_disks
三、查看和分析日志
tailf /var/log/audit/audit.log //查看audit日志信息
1.type为类型
2.msg为(time_stamp:ID)
3.时间是date +%s(1970-1-1至今的秒数)
4.arch=c000003e,代表系统架构x86_64(16进制)
5.success=yes/no,事件是否成功
6.a0-a3是程序调用时前4个参数,16进制编码了
7.ppid父进程ID,pid进程ID
8.tty:从哪个终端执行的命令(pts?表示远程,tty?表示本地) // comm="cat" 用户在命令行执行的指令
9.exe 实际程序的路径
10.key 创建规则的名字
日志不容易阅读及查找,所以提供有工具辅助查看日志,如aureport、ausearch、autrace
例如ausearch,默认程序会搜索/var/log/audit/audit.log,所以改过路径的小伙伴或者转移过日志的小伙伴要注意了,那么就需要加-f 文件
例:ausearch -k 规则名 -i(交互操作)
//根据规则名来查找日志
找到的一些用法:
ausearch -m #按消息类型查找
ausearch -ul #按登陆ID查找
ausearch -ua #按uid和euid查找
ausearch -ui #按uid查找
ausearch -ue #按euid查找
ausearch -ga #按gid和egid查找
ausearch -gi #按gid查找
ausearch -ge #按egid查找
ausearch -c #按cmd查找
ausearch -x #按exe查找
ausearch -sc #按syscall查找
ausearch -p #按pid查找
ausearch -sv #按syscall的返回值查找(yes/no)
ausearch -f #按文件名查找
ausearch -tm #按连接终端查找(term/ssh/tty)
ausearch -hn #按主机名查找
ausearch -k #按特定的key值查找
ausearch -w #按在audit rule设定的字符串查找
未经允许不得转载:天府数据港官方信息博客 » Linux之audit审计
客官点个赞呗! (0)