Linux audit 安全审计干货

2023-10-22 05:11
文章标签 linux 安全 审计 干货 audit

本文主要是介绍Linux audit 安全审计干货,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

  • 简介
  • 一丶审计规则(Auditctl 和 audit.rules)
  • 二丶配置文件(auditd.conf)
  • 三丶报告工具(aureport)
  • 四丶事件查找(ausearch)

简介

	简单来说,修改两个配置文件(/etc/audit/audit.rules 和/etc/audit/auditd.conf ),然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤:内核选项勾选和安装软件包(上篇文章已介绍)。添加审计规则,修改配置文件,然后启用 audit 守护进程进行日志记录,最后生成审计日志来分析数据。

在这里插入图片描述

Linux audit 架构示意图

项目说明
User记录用户空间中产生的事件
Task跟踪应用程序的子进程(fork)
Exit当一个系统调用结束时判断是否记录该调用
Exclude删除(过滤)不合格事件
auditctl即时控制审计守护进程行为的工具
/etc/audit/audit.rules记录审计规则的文件
aureport查看和生成审计报告的工具
ausearch查找审计事件的工具
auditspd转发事件通知给其他应用程序,而不是写入到审计日志文件中
autrace一个用于跟踪进程的命令
/etc/audit/auditd.confauditd工具的配置文件

一丶审计规则(Auditctl 和 audit.rules)

可以先用 auditctl -h,查看auditctl命令使用规则

auditctl [选项] filter,action -S syscall -F condition -k label

-S 表示系统调用号或名字
-F 表示规则域。
-k 表示设置审计规则上的过滤关键

项目可选参数说明
filteruser,exit,task,exclude哪个内核规则匹配过滤器应用在事件中
actionalways, never是否审核事件
syscallall, open所有的系统调用都可以在/usr/include/asm/unistd_64.h 文件中找到
conditioneuid=0, arch=b64进一步修改规则与特定架构、组 ID、进程 ID 和其他内容为基础的事件相匹配
label任意文字标记审核事件并检索日志

audit 审计规则分成三个部分:

  1. 控制规则:用于更改审计系统本身的配置/设置。
    -D #删除所有当前装载的审核规则#
    -b 8192 #在内核中设定最大数量的已存在的审核缓冲区为 8Mb#
    -e 2 #锁定审核配置#

  2. 文件系统规则:文件或目录监视,可以审核对特定文件或目录的任何类型的访问。
    用auditctl命令,监控文件,系统行为
    规则格式:

     			-w 路径  -p 权限:r — 读取文件或者目录。w — 写入文件或者目录。x — 运行文件或者

这篇关于Linux audit 安全审计干货的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/259252

相关文章

linux-基础知识3

打包和压缩 zip 安装zip软件包 yum -y install zip unzip 压缩打包命令: zip -q -r -d -u 压缩包文件名 目录和文件名列表 -q:不显示命令执行过程-r:递归处理,打包各级子目录和文件-u:把文件增加/替换到压缩包中-d:从压缩包中删除指定的文件 解压:unzip 压缩包名 打包文件 把压缩包从服务器下载到本地 把压缩包上传到服务器(zip

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

Linux_kernel驱动开发11

一、改回nfs方式挂载根文件系统         在产品将要上线之前,需要制作不同类型格式的根文件系统         在产品研发阶段,我们还是需要使用nfs的方式挂载根文件系统         优点:可以直接在上位机中修改文件系统内容,延长EMMC的寿命         【1】重启上位机nfs服务         sudo service nfs-kernel-server resta

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

【Linux 从基础到进阶】Ansible自动化运维工具使用

Ansible自动化运维工具使用 Ansible 是一款开源的自动化运维工具,采用无代理架构(agentless),基于 SSH 连接进行管理,具有简单易用、灵活强大、可扩展性高等特点。它广泛用于服务器管理、应用部署、配置管理等任务。本文将介绍 Ansible 的安装、基本使用方法及一些实际运维场景中的应用,旨在帮助运维人员快速上手并熟练运用 Ansible。 1. Ansible的核心概念

Linux服务器Java启动脚本

Linux服务器Java启动脚本 1、初版2、优化版本3、常用脚本仓库 本文章介绍了如何在Linux服务器上执行Java并启动jar包, 通常我们会使用nohup直接启动,但是还是需要手动停止然后再次启动, 那如何更优雅的在服务器上启动jar包呢,让我们一起探讨一下吧。 1、初版 第一个版本是常用的做法,直接使用nohup后台启动jar包, 并将日志输出到当前文件夹n