2. 程式人生 > >linux audit審計(5)--audit規則配置

linux audit審計(5)--audit規則配置

阿新 發佈:2018-04-04
類型 https 不存在 avi mit linux. 文件監控 usr RM

audit可以配置規則,這個規則主要是給內核模塊下發的,內核audit模塊會按照這個規則獲取審計信息,發送給auditd來記錄日誌。

規則類型可分為:

1、控制規則:控制audit系統的規則;

2、文件系統規則:也可以認為是文件監控,可以監控一個特定文件或者一個路徑。

3、系統調用規則:可以記錄特定程序的系統調用。

audit規則可以通過auditctl,在命令行裏輸入,這些設置的規則為臨時的,當系統重啟後就不存在了。可以通過配置/etc/audit/audit.rules文件,當每次audit服務啟動後,都會從這個文件來加載規則。

auditctl,這個命令可以配置audit規則,audit根據這些規則來決定哪些事件會被記錄。The auditctl

program is used to control the behavior, get status, and add or delete rules into the 2.6 kernel‘s audit system.

控制規則:

-b 設置在內核中audit緩沖空間的最大值。

-f 這個選項來決定內核如何處理critical erros:0=silent 1=printk 2=panic.默認值為1。

-e 設置使能標誌,設置為0,為關閉了audit,設置為1,則開啟audit;當設置為2時,表示鎖定,一般在設置完其他規則後最後設置,防止其他人修改規則;任何修改規則的行為都會被拒絕,並且記錄審計日誌,只有當重啟系統後,這個使能標誌才可以被修改。

-s 查詢audit內核狀態。如:

linux-xdYUnA:/var/log/audit # auditctl -s
enabled 1
failure 1
pid 27106
rate_limit 0
backlog_limit 8192
lost 106978588
backlog 0

-l 列出所有當前配置的規則。

-D 刪除所有當前加載的規則。

定義文件系統規則:

auditctl -w path_to_file -p permissions -k key_name

path_to_file 為要做審計的文件或路徑;

permissions為要記錄的許可:rwx 文件或路徑的讀寫執行,a

修改文件或路徑的屬性。

r — read access to a file or a directory.
wwrite access to a file or a directory.
x — execute access to a file or a directory.
a — change in the files or directorys attribute.

key_name 為一個可選字符串,明確哪些規則產生的這些日誌。過濾時可以使用。

如下舉例:

定義規則,記錄所有對/etc/passwd文件的寫入以及屬性修改,可以輸入如下命令:

~]# auditctl -w /etc/passwd -p wa -k passwd_changes

記錄所有對/etc/selinux/目錄的寫入以及屬性修改,可以輸入如下命令:

~]# auditctl -w /etc/selinux/ -p wa -k selinux_changes

記錄所有執行了/sbin/insmod命令,向內核插入模塊的行為,輸入如下命令:

~]# auditctl -w /sbin/insmod -p x -k module_insertion

定義系統調用規則:

auditctl -a action,filter -S system_call -F field=value -k key_name

action和filter 明確一個事件被記錄。action可以為always或者never,filter明確出對應的匹配過濾,filter可以為:task,exit,user,exclude。

system_call 明確出系統調用的名字,幾個系統調用可以寫在一個規則裏,如-S xxx -S xxx。系統調用的名字可以在/usr/include/asm/unistd_64.h文件中找到。

field=value 作為附加選項,修改規則以匹配特定架構、GroupID,ProcessID等的事件。具體有哪些字段,可以參考man linux https://linux.die.net/man/8/auditctl

例如:

定義一個規則,當每次使用系統調用adjtimex或者settimeofday時,並且為64位架構,記錄審計日誌,命令可以輸入如下:

~]# auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change

一個文件被user ID為1000或者更大的用戶刪除,或重命名,記錄審計,命令如下:

~]# auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete

註意,-F auid!=4294967295 這個是為了排除login UID沒有被設置的用戶。

也可以通過系統調用規則,來定義文件系統規則,如下的系統調用規則,與-w /etc/shadow -p wa的文件系統規則等同:

~]# auditctl -a always,exit -F path=/etc/shadow -F perm=wa

linux audit審計(5)--audit規則配置

相關推薦

linux audit審計5--audit規則配置

類型 https 不存在 avi mit linux. 文件監控 usr RM audit可以配置規則,這個規則主要是給內核模塊下發的,內核audit模塊會按照這個規則獲取審計信息,發送給auditd來記錄日誌。 規則類型可分為: 1、控制規則:控制audit系統的

linux audit審計3--audit服務配置

lib cal bin 審計日誌 ann 重新 writing gpo ace audit守護進程可以通過/etc/audit/auditd.conf文件進行配置,默認的auditd配置文件可以滿足大多數環境的要求。 local_events = yes write_lo

linux audit審計4--audit的日誌切分,以及與rsyslog的切分協同使用

切分 pri kernel 下場 表示 審計 action 通過 小時 audit的規則配置稍微不當,就會短時間內產生大量日誌,所以這個規則配置一定要當心。當audit日誌寫滿後,可以看到如下場景: -r-------- 1 root root 8388609 Mar 3

Linux鞏固記錄5 hadoop 2.7.4下自己編譯代碼並運行MapReduce程序

parser mod pill self add let tokenize org cto 程序代碼為 ~\hadoop-2.7.4\share\hadoop\mapreduce\sources\hadoop-mapreduce-examples-2.7.4-sourc

Linux自學筆記5Linux基礎命令

linux 基礎命令 基礎命令:date:date --help用法:date [選項]... [+格式] 或:date [-u|--utc|--universal] [MMDDhhmm[[CC]YY][-ss]]date [MMDDhhmm[[cc]yy][-ss]]:設置MM:月DD:日hh:時m

Linux驅動開發5——生成裝置節點

項裝置可以說是對一部分字元裝置的封裝,還有一部分不好歸類驅 動也歸到雜項裝置 雜項裝置初始化部分原始檔“drivers/char/ misc.c”,這一部分通過 Makefile可知,是強制編譯的。 雜項設備註冊標頭檔案include/linux/miscdevice

linux學習筆記5:檔案許可權

檔案許可權 1.檔案許可權存在的意義 系統最底層安全設定方法之一 保證檔案可以被可用的使用者做相應操作 2.檔案許可權的檢視 ls -l file ls -ld dir ll file ll -d dir 3.檔案許可權的讀取 - |rw-rw-r--|

Linux學習筆記5磁碟分割槽parted

Linux學習筆記(5)磁碟分割槽(parted) 演示: (1)parted /dev/sdb(可以使用help來檢視命令詳細描述)    (2)p 列出當前磁碟分割槽資訊,可以看出這裡還沒有分割槽,所以下面沒有任何分割槽資訊    (3)mklabel 建立磁碟標籤,選擇gpt格式(這裡會把改

Linux作業系統入門5

系統的日誌管理 rsyslog的管理 /var/log/messages 服務資訊日誌 /var/log/secure 系統登陸日誌 /var/log/cron 定時任務日誌 /var/log/maillog 郵件日誌 /var/log/boot/log 系統啟動日誌

Linux網路程式設計5:I/O模型

       這一部分的內容本來應該作為第四部分內容,置於上一講之中的。由於當時自己學習時也存在很大的困惑,邊學邊用,因此造成了知識體系的不連貫性。我們開始學習吧。 (1)什麼是I/O複用(I/O multiplexing)呢?         當你編寫的程式需要同時處理多

Linux核心移植5

Linux3.8.3核心移植-根檔案系統製作 根檔案系統,是在linux核心啟動後,第一個掛載的檔案系統。 mkyaffs2image工具製作 mkyaffs2image是製作根檔案系統必要的工具,由yaffs2原始碼編譯生成 1、修改f

Linux日誌檢視5— more 命令

more命令是一個基於vi編輯器文字過濾器,它以全螢幕的方式按頁顯示文字檔案的內容,支援vi中的關鍵字定位操作。more名單中內建了若干快捷鍵,常用的有H(獲得幫助資訊),Enter(向下翻滾一行),空格(向下滾動一屏),Q(退出命令)。more命令從前向後讀取

Linux學習總結 網絡配置-NAT方式靜態IP配置

開機啟動 log scrip 分享 如何快速 報錯 網絡服務 重新 查找 一:DHCP 服務驗證 1: 之前我們在裏面已經裝好了centos,當時我們選擇的組網方式為NAT方式,那麽我們怎麽樣如何快速實現虛擬機系統訪問外網呢?能不能直接上網呢,來我們試一下ping baid

解讀ASP.NET 5 & MVC6系列5:Configuration配置資訊管理

在前面的章節中,我們知道新版的MVC程式拋棄了原來的web.config檔案機制,取而代替的是config.json,今天我們就來深入研究一下配置檔案的相關內容。 基本用法 新版的配置資訊機制在Microsoft.Framework.ConfigurationModel名稱空間下進行了重寫,重寫以後不僅支援X

docker技術學習總結5—— 網路基礎配置

1,埠對映實現訪問容器從外部訪問容器應用啟動容器時,如果不加指定引數,在容器外是不能通過網路訪問容器內的網路應用和服務的。可以通過-P和-p引數來指定埠對映讓外部訪問,當使用-P時,會隨機對映一個埠至容器內部開放的網路埠:docker run -P -d training/w

部署CM報錯5:hive配置連線mysql報錯:Able to find the Database server, but not the specified database.

1.問題描述 主機無法連線mysql資料庫,連線報錯 Able to find the Database server, but not the specified database. Please check if the database name is correct and make

Linux 系統安裝5分鐘

定義 install 啟動系統 輸入 let 客戶 nim ima 位置 安裝版本:CentOS 6.5 minimal 虛擬機工具:VMware 虛擬機配置:1核2線程 2G內存 50G硬盤 步驟: 一、虛擬機配置 1、打開VMware,創建新的虛擬機,選擇典型安裝;

DAY-9 Linux基礎及常用命令5

mod conf 自己的路 linux操作 解包 二進制安裝 netstat iptables usr 一、Samba(類似共享網盤) 1、功能:Linux操作系統給win用戶共享文件用 2、如何部署 》》準備環境:iptables –F(清除防火墻)、systemctl

Linux基礎系列:常用命令5_nfs服務與nginx服務

ash .com access emctl 磁盤 keepalive roo inux iptable 介紹:   NFS 是Network File System的縮寫,即網絡文件系統。一種使用於分散式文件系統的協定,由Sun公司開發,於1984年向外公布。功能是通過

轉每天一個linux命令5:rm 命令

每天 幫助信息 rbo 總計 com 刪除 強行 高度 linux中 昨天學習了創建文件和目錄的命令mkdir ,今天學習一下linux中刪除文件和目錄的命令: rm命令。rm是常用的命令,該命令的功能為刪除一個目錄中的一個或多個文件或目錄,它也可以將某個目錄及其下的所有文