一、简介
Linux 审计系统提供了一种方式来跟踪系统上与安全相关的信息,根据预配置的规则,审计会生成日志条目,来尽可能多地记录系统上所发生的事件的相关信息。对于关键任务环境而言至关重要,可用来确定安全策略的违反者及其所执行的操作,便于在发生网络入侵等安全事件时,能够为追踪溯源提供日志及时间节点的支撑。
在 Linux 服务器主机系统中常常使用 audit 相关工具来对账户管理、权限管理、文件系统管理、日志文件操作管理以及网络配置管理等资源的操作监控,并根据审计规则进行对应的日志记录,最后使用 syslog 服务进行将日志转发到企业的日志中心服务器上,以便于发生安全事件后溯源查询。
主要功能:
- 安全审计:
audit
用于记录与安全相关的事件,包括用户身份验证、文件访问、系统调用等。 - 合规性:帮助组织满足各种合规性要求(如 PCI-DSS、HIPAA 等),确保系统活动的可追溯性。
- 问题追踪:能够追踪系统中的可疑活动,帮助系统管理员识别潜在的安全威胁。
主要组件:
- auditd:审计守护进程,负责收集、记录和管理审计事件。
- auditctl:命令行工具,用于配置和控制审计规则。
- ausearch:用于搜索审计日志的工具,可以根据特定条件过滤和查找事件。
- aureport:用于生成审计报告的工具,提供易于理解的输出格式。
二、各步骤简叙
2.1 安装
# Debian/Ubuntu sudo apt-get install auditd # CentOS/RHEL sudo yum install audit -y # Fedora sudo dnf install audit # SUSE sudo zypper install audit
2.2 配置文件
在 /etc/audit/目录下主要有3个配置文件:
- /etc/audit/auditd.conf:主要配置文件,定义了审计守护进程的行为和日志记录策略
- /etc/audit/audit.rules:用于定义审计规则,通常在系统启动时加载;在某些系统中,这个文件可能会被 /etc/audit/rules.d/audit.rules 文件覆盖
- /etc/audit/audit-stop.rules:在停止
auditd
守护进程时需要应用的审计规则,比如在服务停止时移除或禁用特定的审计规则,防止在下次启动时继续监控不再需要的事件;确保在停止审计守护进程时,相关的审计规则不会影响系统的正常运行。
/etc/audit/auditd.conf文件:
# # This file controls the configuration of the audit daemon # # 是否记录本地事件,开启后,即使不手动编写审计规则,系统仍然会记录一些基本的事件 local_events = yes # 是否将审计事件写入日志文件 write_logs = yes # 审计日志文件的路径 log_file = /var/log/audit/audit.log # 定义日志文件的组权限 log_group = root # 指定审计日志的格式,默认 ENRICHED 将解析所有uid、gid、syscall、体系结构和套接字地址信息同时意味着需要更大的空间,更适合用于日常审计和调查活动。 # RAW 格式:只包含原始的系统调用信息,不包含额外的上下文信息,以减少日志文件大小和性能开销,更适合用于高性能环境。 log_format = RAW # 定义日志刷新策略,none(日志不写到磁盘),incremental (日志写到磁盘),incremental-async (日志异步写到磁盘),data(保持部分数据和磁盘的一直同步),sync(每次记录都写到磁盘) flush = INCREMENTAL_ASYNC # 设置日志刷新的频率(以行数为单位) freq = 50 # 设置单个审计日志文件的最大大小(单位为 MB) max_log_file = 8 # 设置保留的旧日志文件数量 num_logs = 5 # 设置审计守护进程的优先级提升 priority_boost = 4 # 设置分发服务的服务质量(QoS),lossy 表示可以接受丢失一些日志 disp_qos = lossy # 指定事件分发器程序的路径 dispatcher = /sbin/audispd # 指定日志文件命名格式,NONE 表示不使用特定命名格式 name_format = NONE # name = mydomain # 定义日志文件达到最大大小后的操作,默认为轮询(ROTATE),其他可选值 ignore、syslog、suspend and keep_logs max_log_file_action = ROTATE # 设置剩余空间低于该值时的警告阈值(单位:MB) space_left = 75 # 定义当剩余空间低于 space_left 时的操作,默认值为 syslog ,其他有效值为 ignore, syslog, rotate, email, exec, suspend, single, and halt. space_left_action = SYSLOG # 是否验证电子邮件地址 verify_email = yes # 指定接收审计警告邮件的账户 action_mail_acct = root # 设置在磁盘剩余空间低于该值时的阈值(单位:MB) admin_space_left = 50 # 定义当剩余空间低于 admin_space_left 时的操作,默认值为 suspend(暂停审计) ,其他有效值为 ignore, syslog, rotate, exec, suspend, single, and halt. admin_space_left_action = SUSPEND # 设置磁盘已满时的操作 disk_full_action = SUSPEND # 设置磁盘错误时的操作 disk_error_action = SUSPEND # 是否使用 TCP Wrapper 来控制访问 use_libwrap = yes # tcp_listen_port = 60 # 设置 TCP 监听队列的最大连接数 tcp_listen_queue = 5 # 每个地址允许的最大连接数,默认值为 1,最大值为 1024 tcp_max_per_addr = 1 # 监听端口范围 # tcp_client_ports = 1024-65535 # 客户端最大空闲时间(单位:秒),0 表示没有限制 tcp_client_max_idle = 0 # 是否启用 Kerberos 5 认证 enable_krb5 = no # 指定 Kerberos 主体名称 krb5_principal = auditd # krb5_key_file = /etc/audit/audit.key # 是否启用网络分发审计事件 distribute_network = no
2.3 启动
# systemctl管理 systemctl start auditd # 绝对路径启动 /usr/sbin/auditd # 容器里启动,由于audit涉及到内核,需要以privilege权限启动才能正常使用 docker run --privileged -it your_image_name bash
2.4 auditctl
auditctl
是用于管理 Linux 审计系统 (auditd
) 的命令行工具,允许用户添加、删除和查看审计规则。
添加规则
auditctl -w /path/to/file -p rwxa -k key_name
-w
:监控指定的文件或目录
-p
- :指定权限,使用字母组合(不指定时默认监控所有事件):
r
:读取w
:写入x
:执行a
:属性修改-k
:为规则指定一个关键字,便于后续搜索日志。
为了在系统重启后自动加载规则,可以将规则添加到 /etc/audit/rules.d/
目录下的文件中。
echo "-w /etc/passwd -p wa -k passwd_changes" >> /etc/audit/rules.d/audit.rules
使用 auditctl -s 可以查看当前审计系统的状态信息
enabled 1 # 指示审计系统是否启用:1 启用,0 禁用 failure 1 # 指示当审计记录失败时的处理方式:1 记录失败信息,0 忽略失败 pid 1527 # 前审计守护进程 (auditd) 的进程 ID rate_limit 0 # 设置审计事件的速率限制,用于防止过多事件导致的日志膨胀,后面的值表示每秒允许的最大事件数,0 不限制 rate_limit_action 1 # 当达到速率限制时的处理方式:1 记录到日志,0 忽略 backlog_limit 8192 # 审计事件的最大积压数量,值:表示可以在内存中等待处理的最大事件数 lost 0 # 表示由于速率限制或其他原因而丢失的事件数量 backlog 0 # 当前积压的事件数量 loginuid_immutable 0 unlocked # 指示 login UID 的可变性:1 不可变,0 可变
2.5 日志
auditd
生成的审计日志记录了系统中的各种安全事件,通常存储在 /var/log/audit/audit.log
中
日志类型
auditd
主要记录以下几种类型的日志:
- 用户活动日志:记录用户登录、登出、执行命令等活动。
- 文件访问日志:监控对特定文件或目录的读取、写入和执行操作。
- 系统调用日志:记录特定系统调用的执行情况,例如
open
、read
、write
等。 - 权限变更日志:记录对系统权限和配置的修改,如用户添加、删除或权限更改。
- 安全事件日志:记录与安全相关的事件,如 SELinux 相关的操作和其他安全策略的执行。
日志格式
审计日志的格式通常为文本格式,每条日志记录包含多个字段,如
type=SYSCALL msg=audit(1633044800.123:123): arch=c000003e syscall=2 success=yes exit=3 a0=0x7fffa3f4d720 a1=0x0 a2=0x0 a3=0x0 items=1 ppid=1234 pid=5678 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=1 comm="cat" exe="/usr/bin/cat" key="file_access"
主要字段解释:
- type:事件类型,如
SYSCALL
、USER_LOGIN
等。 - msg:包含时间戳和事件 ID,格式为
audit(timestamp:ID)
。 - arch:系统架构(例如
c000003e
表示 x86_64)。 - syscall:系统调用编号,表示执行的系统调用。
- success:表示系统调用是否成功(
yes
或no
)。 - exit:系统调用的退出状态。
- a0, a1, a2, a3:系统调用的参数。
- items:相关项的数量。
- ppid:父进程 ID。
- pid:进程 ID。
- auid:审计用户 ID,表示启动进程的用户。
- uid:用户 ID。
- gid:组 ID。
- euid、suid、fsuid:有效用户 ID、设置用户 ID 和文件系统用户 ID。
- egid、sgid、fsgid:有效组 ID、设置组 ID 和文件系统组 ID。
- tty:终端类型。
- ses:会话 ID。
- comm:执行的命令。
- exe:命令的完整路径。
- key:与该事件关联的关键字,便于后续检索。
2.6 ausearch
ausearch
是 auditd
审计系统中用于查询和过滤审计日志的命令行工具。它允许用户根据多种条件检索特定的审计事件,帮助系统管理员分析和审计系统活动。
常用参数:
参数 | 描述 | 示例 |
---|---|---|
-k | 根据关键字搜索 | ausearch -k file_access |
-c | 根据命令名过滤 | ausearch -c passwd |
-ts | 指定开始时间 | ausearch -ts today,ausearch -ts "18:00:00" |
-te | 指定结束时间 | ausearch -te now |
-ua | 根据审计用户 ID 过滤 | ausearch -ua 1000 |
-p | 根据进程 ID 过滤 | ausearch -p 1234 |
-m | 根据事件类型过滤 | ausearch -m USER_LOGIN |
-f | 根据文件路径过滤 | ausearch -f /etc/passwd |
-i | 以可读格式显示输出,转换事件代码为文本 | ausearch -i |
2.7 aureport
aureport
是 auditd
审计系统中的一个工具,用于生成审计报告,提供系统活动的汇总和统计信息。它可以帮助系统管理员快速了解审计日志中的重要信息。
常用参数
参数 | 描述 | 示例 |
---|---|---|
--users | 生成用户活动的汇总报告 | aureport --users |
--comm | 生成命令执行的汇总报告 | aureport --comm |
--syscall | 生成系统调用的汇总报告 | aureport --syscall |
--file | 生成文件访问的汇总报告 | aureport --file |
--start,--end | 指定时间范围 | aureport --users --start today --end now |
--html | 生成 HTML 格式的报告 | aureport --users --html > user_report.html |
--csv | 生成 CSV 格式的报告 | aureport --comm --csv > command_report.csv |
示例
运行 aureport --users
================================================================================ # date login logout tty pid exec ================================================================================ 2023-09-29 12:00:00 user1 12:30:00 pts/0 1234 bash 2023-09-29 12:05:00 user2 12:35:00 pts/1 5678 ssh
运行 aureport --comm
================================================================================ # command count ================================================================================ ssh 50 bash 30 passwd 10
标签:Audit,audit,--,auditd,Linux,日志,ID,审计 From: https://www.cnblogs.com/Xinenhui/p/18439195