安裝auditd
檢視auditd是否啟動
service auditd status
如果出現 active: active (running),說明已啟動。
先檢視規則:
auditctl -l
新增規則:
auditctl -a always,exit -f arch=b64 -s socket
auditctl -a always,exit -f arch=b64 -s connect
auditctl -a always,exit -f arch=b64 -s sendmmsg
auditctl -a always,exit -f arch=b64 -s sendmsg
auditctl -a always,exit -f arch=b64 -s bind
auditctl -a always,exit -f arch=b64 -s recvmsg
auditctl -a always,exit -f arch=b64 -s close
類似這樣的規則,
執行測試程式
例如: echo "hello world\!" | nc -4u 192.168.1.163 5000
通過檢視tail -f /var/log/audit/audit.log系統呼叫
或者ausearch檢視日誌
新增過濾規則
auditctl -a always,exit -f a0!=0
auditd審計syscall操作
1.linux核心需要開啟config audit和config auditsyscall選項,系統啟動時會執行核心任務kauditd 2.使用者態通過安裝auditd安裝包,啟動auditd服務來接收核心模組的審計日誌資訊,記錄到 var log audit audit.log檔案中 audit可...
Linux 審計工具 auditd 命令
linux 審計工具 auditd 命令 2017年10月14日 20 57 01 auditd 審計工具 常用來對檔案修改進行監聽,如 監聽那個程序修改了 ssh authorized keys 這個工具在大多數linux作業系統中是預設安裝的。centos 預設安裝。ubuntu 安裝 apt ...
ubuntu網路監控
nethogs 是乙個終端下的網路流量監控工具,它的特別之處在於可以顯示每個程序的頻寬占用情況,這樣可以更直觀獲取網路使用情況。它支援 ipv4 和 ipv6 協議 支援本地網絡卡及 ppp 鏈結。sudo apt get install nethogs使用 sudo nethogs 網絡卡 該程式...