auditd審計syscall操作

2021-10-07 02:10:44 字數 2284 閱讀 8069

1.linux核心需要開啟config_audit和config_auditsyscall選項,系統啟動時會執行核心任務kauditd

2.使用者態通過安裝auditd安裝包,啟動auditd服務來接收核心模組的審計日誌資訊,記錄到/var/log/audit/audit.log檔案中

audit可以配置規則,這個規則是給核心模組下發的,核心kauditd模組會按照這個規則獲取審計資訊,傳送給auditd來記錄日誌

規則型別可以分為:

a、控制規則:控制audit系統的規則;

b、檔案系統規則:也可以認為是檔案監控,可以監控乙個特性檔案或者路徑

c、系統呼叫規則:可以記錄特性程式的系統呼叫,系統呼叫可以在uapi/asm/unistd.**件中查詢核心支援的syscall

audit規則可以通過命令auditctl即時新增規則生效,這些規則是臨時的重啟後就不存在了,也可以通過配置檔案/etc/audit/rules.d/audit.rules新增規則,每次auditd服務啟動時從這個配置檔案載入規則生效。

增加乙個事件修改的審計規則:

auditctl -a always,exit -s settimeofday -s clock_settime -s timerfd_settime -s clock_adjtime -k change_date

也可以修改配置檔案,設定重啟時載入規則生效

auditd安裝包中預設提供了audit.rules規則檔案,在/etc/audit/rules.d/audit.rules中新增審核規則

-a always,exit -s settimeofday -s clock_settime -s timerfd_settime -s clock_adjtime -k change_date

在auditd.service檔案中增加 execstartpost=-/sbin/auditctl -r /etc/audit/rules.d/audit.rules 使服務啟動前載入規則檔案生效

sysvinit方案可以在服務管理指令碼中增加/sbin/auditctl -r /etc/audit/rules.d/audit.rules 使服務啟動前載入規則檔案生效

測試執行date -s 『20200610 18:25:30』

在/var/log/audit/audit.log中搜尋關鍵字change_date ,可以看到操作已經觸發記錄了審計日誌

[root@c20200314janx ~]# date -s '20200610 18:25:30'

wed jun 10 18:25:30 edt 2020

[root@c20200314janx ~]# cat /var/log/audit/audit.log|grep change_date

type=config_change msg=audit(1591827887.983:3229075): auid=1024 ses=522 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key="change_date" list=4 res=1

type=syscall msg=audit(1591827920.565:3229132): arch=c000003e syscall=227 success=yes exit=0 a0=0 a1=7ffcf2a5e410 a2=1 a3=7ffcf2a5df60 items=0 ppid=26708 pid=26771 auid=1024 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts5 ses=522 comm="date" exe="/usr/bin/date" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="change_date"

type=syscall msg=audit(1591827930.008:3229133): arch=c000003e syscall=286 success=yes exit=0 a0=5 a1=1 a2=7ffda26500c0 a3=0 items=0 ppid=1 pid=486 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="systemd-logind" exe="/usr/lib/systemd/systemd-logind" subj=system_u:system_r:systemd_logind_t:s0 key="change_date"

Linux 審計工具 auditd 命令

linux 審計工具 auditd 命令 2017年10月14日 20 57 01 auditd 審計工具 常用來對檔案修改進行監聽,如 監聽那個程序修改了 ssh authorized keys 這個工具在大多數linux作業系統中是預設安裝的。centos 預設安裝。ubuntu 安裝 apt ...

auditd 監控網路

安裝auditd 檢視auditd是否啟動 service auditd status 如果出現 active active running 說明已啟動。先檢視規則 auditctl l 新增規則 auditctl a always,exit f arch b64 s socket auditctl...

日誌審計系統 事件日誌審計 syslog審計

日誌審計系統 事件日誌審計 syslog審計 任何it機構中的windows機器每天都會生成巨量日誌資料。這些日誌包含可幫助您的有用資訊 獲取位於各個windows事件日誌嚴重性級別的所有網路活動的概述。識別網路異常和潛在的安全漏洞。識別多次登入失敗 嘗試訪問未經授權的站點或檔案等等事件。跟蹤任何事...