Auditd-Linux安全审计工具
dcbeyond 2019-06-28
介绍
Auditd工具可以帮助运维人员审计Linux。
安装
$ apt-get install auditd
工具
auditd拥有一系列的工具
- /etc/audit/rules.d/audit.rules:包含审核规则的文件
- aureport:生成和查看审计规则的文件
- ausearch:是一个搜索各种事件的工具
- autrce:用于跟踪进程的命令
- /etc/audit/auditd.conf:审计工具的配置文件
使用
auditctl
$ auditctl -help
查看帮助。
查看规则
$ auditctl -l
审核文件
$ auditctl -w /etc/passwd -p rwxa
运行之后就会对/etc/passwd文件进行监控。
各个参数:
-w:此参数将在路径中插入文件系统对象的监视
-p:此参数描述文件系统监视将触发的权限访问类型
rwxa:是绑定到上面的-p参数的属性。读取r,w写入,x是执行,a是属性
如果不想要继续监控下去,只需:
$ auditctl -W /etc/passwd
审核目录
$ auditctl -w /data/
ausearch
用来查看审核的日志。
例如:
$ ausearch -f /etc/passwd ...
具体可以参考:https://linoxide.com/how-tos/...
aureport
$ aureport
不加任何参数,将生成审计活动的摘要报告。
如果有出现验证失败,可以:
$ aureport -au
如果想要查看于账户修改相关的所有事件,加上-m参数:
$ aureport -m
审核配置文件
如果想要审核永久化的话,需要编辑/etc/audit/rules.d/audit.rules
然后重新加载配置文件:
$ augenrules --load
或者重启服务:
$ systemctl restart auditd
参考来源
相关推荐
zhongguomin 0喜欢 / 0评论 2020-10-16
ldh 0喜欢 / 0评论 2020-06-09
waitui00 0喜欢 / 0评论 2020-04-08
askycat 0喜欢 / 0评论 2020-03-05
广西信息安全学会 0喜欢 / 0评论 2020-03-01
fengyun 0喜欢 / 0评论 2020-01-04
xzero 0喜欢 / 0评论 2019-12-08
方正SOA中间件 0喜欢 / 0评论 2011-08-10
兮先生 0喜欢 / 0评论 2019-10-23
luohui 0喜欢 / 0评论 2019-10-21
DearEcho 0喜欢 / 0评论 2018-07-10
yuanheiqng 0喜欢 / 0评论 2019-07-01
讨厌什么变成什么 0喜欢 / 0评论 2019-06-27
xienue 0喜欢 / 0评论 2012-07-07
supassxu 0喜欢 / 0评论 2017-05-16
yunjiechen 0喜欢 / 0评论 2012-02-03
LSurking 0喜欢 / 0评论 2015-02-19
OakHJH 0喜欢 / 0评论 2014-05-30
hanjinixng00 0喜欢 / 0评论 2011-08-08