文档章节

Linux Ubuntu 14 Audit 系统审计服务

华山猛男
 华山猛男
发布于 07/07 18:48
字数 737
阅读 162
收藏 0

行业解决方案、产品招募中!想赚钱就来传!>>>

一、概述

    系统等保要求,必须做系统审计服务,审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件,这里直接使用第三方插件 Audit,不用系统自带的审计服务日志。

(如需要使用系统操作命令审计,可参考文章:https://www.cnblogs.com/tchua/p/7813284.html)

    Audit 说明文档: https://people.redhat.com/sgrubb/audit/

二、安装 Audit

    1.检查是否安装了 audit 插件。

rpm -ql auditd

    2.使用以下命令安装 audit 插件。

sudo apt-get install auditd

     3.检查 audit 服务是否启动。

service --status-all

    4.重启 audit 服务。

systemctl restart auditd
或
service auditd restart

    5.通过以下命令,可以查询状态、查看规则、删除规则。

auditctl -s # 查询状态
auditctl -l # 查看规则
auditctl -D # 删除所有规则

    6.查看审计日志。

ausearch -i -k key_name # key_name为标识符

三、审计规则语法

     临时测试语法格式:auditctl -w PATH -p PERMISSION -k KEY_NAME,直接执行命令。

    永久生效语法格式: -w PATH -p PERMISSION -k KEY_NAME,需要配置到/etc/audit/audit.rules 或者 /etc/audit/rules.d/audit.rules 文件中。

  • PATH:审计指定路径。
  • PERMISSION:审计权限范围,r为读,w为写,x为执行,a代表文件或目录的属性发生变化。
  • KEY_NAME:标识符。

四、配置临时审计规则

    临时添加审计规则并测试,临时添加的审计规则,重启服务后会自动消失,这里用于测试。

    1.添加临时测试审计命令:

auditctl -w /root -p rwxa -k root_test_change
# 审计目录为:root,审计权限为:rwxa,标识符为:root_test_change

    2.模拟产生审计日志命令:

ll /root;
touch /root/test;

    3.查看审计日志命令:

ausearch -i -k root_test_change

五、配置永久审计规则

    编辑以下任意1个文件,实现审计规则,/etc/audit/audit.rules 或者 /etc/audit/rules.d/audit.rules。

    这里对5个目录操作实现审计行为:

  • -w /etc/passwd -p rwxa -k passwd_change,系统用户账户信息。
  • -w /etc/shadow -p rwxa -k shadow_change,系统用户密码信息。
  • -w /etc/group -p rwxa -k group_change,系统用户组信息。
  • -w /var/log/ -p rwxa -k log_change,系统日志信息。
  • -w /usr/local/mysql -p rwxa -k mysql_change,MySQL数据库信息。

    通过命令,service auditd restart 重启服务后,auditctl -s 和 auditctl -l 查看服务状态和审计规则。

    查询 /etc/auditd.conf 主配置文件如下:

  • log_file = /var/log/audit/audit.log,默认的日志存储目录文件。

六、参考文章

  • https://www.cnblogs.com/linuxxl/p/11391480.html
  • https://blog.csdn.net/ck784101777/article/details/102532472?utm_medium=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.compare&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.compare
华山猛男

华山猛男

粉丝 14
博文 209
码字总数 113967
作品 0
海口
其他
私信 提问
加载中
请先登录后再评论。
记一次失败的Perl + Nginx + FastCGI 配置过程

这两天心血来潮,不知道为什么和 Perl + Nginx + FastCGI 配置 耗上了。但是失败了,记录如下: 1)安装Nginx 1.4.3 ,我的是WINDOWS 7 系统,修改配置文件如下: location ~ .(pl|cgi|perl)?...

通吃岛-低手哥
2013/10/27
1.6K
7
我的架构演化笔记 功能1: 基本的用户注册

“咚咚”,一阵急促的敲门声, 我从睡梦中惊醒,我靠,这才几点,谁这么早, 开门一看,原来我的小表弟放暑假了,来南京玩,顺便说跟我后面学习一个网站是怎么做出来的。 于是有了下面的一段...

强子哥哥
2014/05/31
976
3
树莓派(Raspberry Pi):完美的家用服务器

自从树莓派发布后,所有在互联网上的网站为此激动人心的设备提供了很多有趣和具有挑战性的使用方法。虽然这些想法都很棒,但树莓派( RPi )最明显却又是最不吸引人的用处是:创建你的完美家用...

异次元
2013/11/09
6K
8
Linux 反汇编工具--LDasm

LDasm (Linux 反汇编工具) 是一个基于 Perl/TK 的 objdump/binutils 图形化工具,试图模仿 W32Dasm 工具的外观。可搜索相互参照,将代码从 GAS 转换成 MASM 风格代码等等。...

匿名
2013/01/22
5.4K
1
DNS 管理系统--NamedManager

NamedManager 是一个基于 Web 的 DNS 管理系统,可用来添加、调整和删除 DNS 的 zones/records 数据,支持 Bind 作为后端的 DNS 服务,支持 IPv4 和 IPv6。...

匿名
2013/01/23
8.6K
0

没有更多内容

加载失败,请刷新页面

加载更多

连续数据包采集:数据包——硬盘

nBox Recorder是一个网络流量磁盘记录器应用程序。使用nBox Recorder,您可以从实时网络接口以千兆位速率捕获全尺寸的网络数据包,并将其写入文件中。它的设计和开发主要是因为大多数网络安全...

osc_8ki1usvn
19分钟前
0
0
Docker中级篇|深入探究Docker

简介: 深入探究Docker Docker镜像理解 Docker镜像是什么 镜像是一种轻量级、可执行的独立软件包,用来打包软件运行环境和基于运行环境开发的软件,它包含运行某个软件所需的所有内容,包括代...

阿里云技术博客
19分钟前
0
0
一口气说出 9种 分布式ID生成方式,面试官有点懵了

一、为什么要用分布式ID? 在说分布式ID的具体实现之前,我们来简单分析一下为什么用分布式ID?分布式ID应该满足哪些特征? 1、什么是分布式ID? 拿MySQL数据库举个栗子: 在我们业务数据量不...

漫话编程
今天
0
0
tiktok如何运营

TK的模式 TK 是字节跳动(Byte Dance)公司原创的短视频社交 App,一家成立 8 年、以数据驱动的技术公司。 我们平时用的今日头条、西瓜视频、悟空问答、抖音等等都是字节跳动的产品。 字节跳...

osc_xs2d5ls9
20分钟前
22
0
《OpenCv视觉之眼》Python图像处理三 :Opencv图像属性、ROI区域获取及通道处理

本专栏主要介绍如果通过OpenCv-Python进行图像处理,通过原理理解OpenCv-Python的函数处理原型,在具体情况中,针对不同的图像进行不同等级的、不同方法的处理,以达到对图像进行去噪、锐化等...

osc_tjhvpz8x
21分钟前
13
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部