Linux審計系統的審計套件
步驟:安裝auditd
REL/centos已經默認安裝了這個套件。如果使用ubuntu server,需要手動安裝:
sudo apt-get安裝審計
它包括以下內容:
auditctl:實時控制審計守護進程行為的工具,比如添加規則等等。
/etc/audit/audit.rules:?記錄審計規則的文件。
aureport:?查看和生成審計報告的工具。
ausearch:?用於查找審計事件的工具
auditspd:?將事件通知轉發給其他應用程序,而不是將其寫入審核日誌文件。
autrace:?用於跟蹤進程的命令。
/etc/audit/auditd.conf:?審計工具的配置文件。
審計文件和目錄訪問審計
初次安裝?審計?之後,審核規則為空。妳會用嗎?Sudo auditctl -l查看規則。文件審計用於保護敏感文件,例如保存系統用戶名和密碼的passwd文件。文件訪問審計方法如下:
sudo audit CTL-w/etc/passwd-p rwxa
-w路徑:?指定要監控的路徑。上述命令指定了受監控文件的路徑/etc/passwd。
-p:?指定觸發審核的文件/目錄的訪問權限。
rwxa:?指定的觸發條件、r讀權限、w寫權限、x執行權限和壹個屬性(attr)。
目錄審計類似於文件審計,方法如下:
$ sudo審計-w/生產/
上述命令保護/production目錄。
3.?查看審計日誌
添加規則後,我們可以查看auditd的日誌。使用?ausearch?工具可以查看審核的日誌。
sudo ausearch -f /etc/passwd
-f?設置ausearch調出/etc/passwd文件的審計內容。
4.檢查審計報告
上述命令返回的日誌如下:
時間->;12月22日星期壹09:39:16 2016
type = PATH msg = audit(1419215956.471:194):item = 0?name="/etc/passwd "
inode = 142512 dev = 08:01 mode = 0100644 ouid = 0 ogid = 0 rdev = 00:00 name type = NORMAL
type=CWD消息=審計(1419215956.471:194):?CWD = "/家庭/某人"
type = SYSCALL msg = audit(1419215956.471:194):arch = 40000003?syscall=5?
成功=是退出= 3 A0 = b 779694 b a 1 = 80000 a2 = 1b 6 a3 = b 8776 aa 8 items = 1 ppid = 2090 PID = 2231?auid = 4294967295 uid = 1000 GID = 1000?euid = 0 suid = 0 fsuid = 0 egid = 1000 sgid = 1000 fs GID = 1000 tty = pts 0 ses = 4294967295
comm="sudo" exe="/usr/bin/sudo "?key=(空)
時間:?審計時間。
姓名:?審計對象
cwd:?電流通路
syscall:?相關系統調用
auid:?審計用戶ID
Uid和gid:?訪問文件的用戶ID和用戶組ID。
comm:?用戶訪問文件的命令
exe:?上述命令的可執行文件路徑。
上面的審計日誌顯示該文件沒有被更改。