创新路
我们一直在努力

Linux之audit审计

    一、审计就是根据事先的规则,记录用户在Linux系统中的一系列操作,例如登录,修改文件,等等,能够进行事后的查证工作

    审计能够记录的日志内容:

        1.日期与事件以及事件的结果

        2.触发事件的用户

        3.所有认证机制的使用都可以被记录,如ssh等

        4.对关键数据文件的修改行为等都可以被记录

        注:这四点来源于网络

    二、配置audit审计软件

        yum -y  install  audit                //安装audit软件包

        cat /etc/audit/auditd.conf            //查看audit配置文件

           log_file = /var/log/audit/audit.log                  //查看配置文件中的日志路径,可修改

        systemctl start auditd                //启动audit服务,并设置开机自启

        systemctl enable auditd            

        1.定义临时文件系统规则:

            语法格式:auditctl  -w  路径  -p  权限  -k  名称

            //路径是需要审计的目录路径

            //权限可以是r,w,x,a 注:a是文件目录属性变化的权限

            //名称是给该条规则取名

            例:

                auditctl  -w  /usr/sbin/fdisk  -p  x  -k  disk_partition  

                auditclt  -w  /etc/ssh/sshd_conf  -p warx  -k  sshd_config    

                auditctl -w  /etc/passwd -p wa  -k  passwd_change  

                auditctl  -w  /etc/selinux/  -p wa  -k  selinux_change    

        auditctl  -s    //查询状态

        auditctl  -l     //查看规则

        auditctl  -D   //删除所有规则

        注意:如果需要创建永久审计规则,则需要修改规则配置文件 

            vim  /etc/audit/rules.d/audit.rules   

            -w /etc/passwd -p wa -k passwd_changes

            -w /usr/sbin/fdisk -p x -k partition_disks

 

    三、查看和分析日志

        tailf  /var/log/audit/audit.log   //查看audit日志信息

            1.type为类型   

            2.msg为(time_stamp:ID)

            3.时间是date +%s(1970-1-1至今的秒数)  

            4.arch=c000003e,代表系统架构x86_64(16进制)

            5.success=yes/no,事件是否成功    

            6.a0-a3是程序调用时前4个参数,16进制编码了

            7.ppid父进程ID,pid进程ID

            8.tty:从哪个终端执行的命令(pts?表示远程,tty?表示本地)   // comm="cat" 用户在命令行执行的指令

            9.exe   实际程序的路径   

            10.key  创建规则的名字

日志不容易阅读及查找,所以提供有工具辅助查看日志,如aureport、ausearch、autrace

例如ausearch,默认程序会搜索/var/log/audit/audit.log,所以改过路径的小伙伴或者转移过日志的小伙伴要注意了,那么就需要加-f 文件

例:ausearch -k 规则名 -i(交互操作) 

        //根据规则名来查找日志

        找到的一些用法:

        ausearch -m     #按消息类型查找

        ausearch -ul     #按登陆ID查找

        ausearch -ua    #按uid和euid查找

        ausearch -ui     #按uid查找

        ausearch -ue    #按euid查找

        ausearch -ga    #按gid和egid查找

        ausearch -gi     #按gid查找

        ausearch -ge    #按egid查找

        ausearch -c      #按cmd查找

        ausearch -x      #按exe查找

        ausearch -sc    #按syscall查找

        ausearch -p     #按pid查找

        ausearch -sv    #按syscall的返回值查找(yes/no)

        ausearch -f      #按文件名查找

        ausearch -tm   #按连接终端查找(term/ssh/tty)

        ausearch -hn   #按主机名查找

        ausearch -k     #按特定的key值查找

        ausearch -w    #按在audit rule设定的字符串查找

    

未经允许不得转载:天府数据港官方信息博客 » Linux之audit审计

客官点个赞呗! (0)
分享到:

评论 抢沙发

评论前必须登录!

天府云博 - 做有态度的开发&运维&设计学习分享平台!

联系我们百度云主机