什么是系统的审计?
审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。auditd(或 auditd 守护进程)是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。
审计能够记录日志的内容
- 日期与事件以及事件的结果
- 触发事件的用户
- 所有认证机制的使用都可以被记录,如ssh等
- 对关键数据文件的修改行为等都可以被记录
使用auditd做系统的审计
- 使用audit监控/etc/ssh/sshd_config
- 当该文件发生任何变化即记录日志
- 通过手动和ausearch工具查看日志内容
配置audit审计系统:
yum -y install audit
systemctl start auditd
cat /etc/audit/auditd.conf |grep log_file #查看配置文件,确定日志位置
log_file = /var/log/audit/audit.log #日志文件路径
审计规则:
[root@proxy ~]# auditctl -s #查询状态 [root@proxy ~]# auditctl -l #查看规则 [root@proxy ~]# auditctl -D #删除所有规则
定义临时文件系统规则:
| 语法格式 | auditctl -w path -p permission -k key_name |
|---|---|
| path(路径) | 为需要审计的文件或目录 |
| permission(权限) | 权限可以是r,w,x,a(文件或目录的属性发生变化) |
| key_name(别名) | 方便识别哪些规则生成特定的日志项 |
1、设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
auditctl -w /etc/passwd -p wa -k passwd_change
2、设置规则,监控/etc/selinux目录
auditctl -w /etc/selinux/ -p wa -k selinux_change
3、设置规则,监控fdisk程序
auditctl -w /usr/sbin/fdisk -p x -k disk_partition
4、设置规则,监控sshd_conf文件
auditctl -w /etc/ssh/sshd_conf -p warx -k sshd_config
设置永久文件系统规则
/etc/audit/rules.d/audit.rules #写audit的规则
ausearch -m #按消息类型查找 ausearch -ul #按登陆ID查找 ausearch -ua #按uid和euid查找 ausearch -ui #按uid查找 ausearch -ue #按euid查找 ausearch -ga #按gid和egid查找 ausearch -gi #按gid查找 ausearch -ge #按egid查找 ausearch -c #按cmd查找 ausearch -x #按exe查找 ausearch -sc #按syscall查找 ausearch -p #按pid查找 ausearch -sv #按syscall的返回值查找(yes/no) ausearch -f #按文件名查找 ausearch -tm #按连接终端查找(term/ssh/tty) ausearch -hn #按主机名查找 ausearch -k #按特定的key值查找 ausearch -w #按在audit rule设定的字符串查找
ausearch -f /etc/passwd
显示成功事件
生成9:00~18:00这段时间内的报表
aureport -ts 9:00-te 18:00-f
标签:审计,audit,系统,etc,查找,auditctl,ausearch,Linux From: https://www.cnblogs.com/zouhong/p/16870051.html