linux audit 安全審計功能

2021-10-05 20:23:47 字數 1616 閱讀 3802

今天系統中遇到rc.local被人刪除掉的問題,從同事那裡得知一工具可以監控檔案被刪除或修改是被誰和哪條指令修改的,就是audit,總結了一下,尤其是注意事項,希望後續可以省掉一些問題定位時間。

linux安全審計功能 audit詳解

動機我們知道在linux系統中有大量的日誌檔案可以用於檢視應用程式的各種資訊,但是對於使用者的操作行為(如某使用者修改刪除了某檔案)卻無法通過這些日誌檔案來檢視,如果我們想實現監管企業員工的操作行為就需要開啟審計功能,也就是audit

啟動service auditd start

注意事項

1. 保證/etc/audit/auditd.conf 許可權為644,不能過高

2. 修復/etc/audit/auditd.conf中從/dev/null修改為log_file=/var/log/audit/audit.log

3. 保證/sbin/audispd 許可權為0755,或0750

4. 執行重啟service auditd restart,若再失敗,systemctl status auditd檢視報錯

配置vim /etc/audit/rules.d/audit.rules

追加類似如下內容:

-a always,exit -f path=/usr/lib64/libfuse.so.2 -f perm=warx -f key=keyword-for-filter-log

-a always,exit -f path=/usr/lib64/libfuse.so.2.9.3 -f perm=warx -f key=keyword-for-filter-log

-a always,exit -f path=/usr/lib64/libfuse.so.2.9.2 -f perm=warx -f key=keyword-for-filter-log

-a always,exit -f path=/etc/rc.local -f perm=warx -f key=keyword-for-rc-local

-a always,exit -f path=/etc/rc.d/rc.local -f perm=warx -f key=keyword-for-rc-local

-f代表監控這個檔案在什麼操作下觸發時記錄日誌

修改配置規則後,重啟auditd,讓其生效

service auditd restart

(由於其他配置原因,該服務無法由systemctl 啟動或關閉,僅能使用service)

參考:

生效方式

auditctl –l檢視

audit可以自定義對指定的檔案或命令進行審計(如監視rm命令被執行、/etc/passwd檔案內容被改變),只要配置好對應規則即可,配置規則可以通過命令列(臨時生效)或者編輯配置檔案(永久生效)兩種方式來實現

日誌中怎樣檢視

閱讀方式: grep 配置檔案中寫的keyword

cat /var/log/audit/audit.log| grep keyword-for-rc-local

ausearch

安全審計 安全審計產品 作用

安全審計是主體對客體進行訪問和使用情況進行記錄和審查,以保證安全規則被正確執行,並幫助分析安全事幫產生的原因。概況地講,安全審計是採用資料探勘和資料倉儲技術,實現在不同網路環境中終端對終端的監控和管理,在必要時通過多種途徑向管理員發出警告或自動採取排錯措施,能對歷史資料進行分析 處理和追蹤。安全審計...

設定IDS安全審計

informix安全審計相關的內容 1,adtcfg配置檔案 位於 aaodir 目錄下 2,onaudit 配置程式 用法 開啟審計的方法 1 通過修改adtcfg配置檔案引數adtmode 的值。此方法需要重啟資料庫才生效。2 通過onaudit l 1 修改adtmode的方式使之後的會話都審...

域6安全審計

安全審計 分為三個分類 內部,外部,第三方審計。內部指內部審計員審計,外部指外包給別的安全公司審計,第三方審計指的是 監管機構審計。其中第三方審計有soc報告。soc報告分為三個型別 i,ii,iii。i型別報告屬於內部報告,涉及某一時間點,並且概括了安全策略控制內容。ii類報告屬於滲透測試報告的詳...