Linux audit 日志审计服务安装及使用
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux audit 的安装和使用方法。 安装 Linux audit Linux audit 可以在多种 Linux 发行版上安装,包括 CentOS 和 Ubuntu。在 CentOS 中,默认情况下已经安装了 audit,而在 Ubuntu 中,可以使用以下命令安装: `apt-get install auditd` 安装完成后,将自动安装以下工具: * `auditctl`:即时控制审计守护进程的行为的工具,可以添加规则等等。 * `/etc/audit/audit.rules`:记录审计规则的文件。 * `aureport`:查看和生成审计报告的工具。 * `ausearch`:查找审计事件的工具。 * `auditspd`:转发事件通知给其他应用程序,而不是写入到审计日志文件中。 * `autrace`:一个用于跟踪进程的命令。 * `/etc/audit/auditd.conf`:auditd 工具的配置文件。 添加审计规则 可以使用 `auditctl` 工具添加审计规则。例如,要监控 `/etc/passwd` 文件,可以使用以下命令: `auditctl -w /etc/passwd -p rwxa` 这里的 `-w` 选项指定了要监控的路径,`-p` 选项指定了触发审计的文件/目录的访问权限,`rwxa` 指定了触发条件,包括读取、写入、执行和属性修改权限。 查看审计日志 可以使用 `ausearch` 工具查看审计日志。例如,要查看 `/etc/passwd` 文件的审计日志,可以使用以下命令: `ausearch -f /etc/passwd` 生成简要报告 可以使用 `aureport` 工具生成简要报告。例如: `aureport` 添加规则到 audit.rules 文件 可以将规则添加到 `/etc/audit/audit.rules` 文件中。例如,要监控 execve 的调用记录,可以使用以下命令: `-a exit,always -F arch=b64 -S execve -k exec` 这将监控所有用户的登录行为,包含用户所有操作,以及 shell 脚本中的命令。 其他规则包括: * 监控文件权限变化,因为改变权限必须调用 umask * 监控用户和组 ID 变化 * 监视主机名变化,因为修改主机名必须调用 sethostname * 监视系统时间变化 * 监控挂载 * 监控重点配置文件的变化,例如 `/etc/init.d/`、`/etc/crontab` 等 这些规则可以帮助管理员检测到系统中的安全漏洞,并采取相应的措施。
剩余6页未读,继续阅读
- 被雷劈中的路西法2022-08-29垃圾 ,没有离线安装
- 粉丝: 0
- 资源: 6
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- WeChatOpenDevTools-Python-main.zip
- TM7707模块的C51程序
- Arduino UNO R3 proteus 电机驱动仿真工程文件(含驱动代码)
- 基于HTML、Python、CSS、JavaScript的在线做题系统设计源码
- 基于Java的九创业学生账号批量导入与自动测评看课系统设计源码
- 基于Django框架的停车场管理系统设计源码
- 基于Java语言的短链接生成器设计源码
- 基于Django+Vue+ElementUI的yishengAnalyze全栈开发设计源码
- 基于Java的2023年寒假师资培训项目股票查询系统设计源码
- 基于JavaScript的OA移动互联网办公系统设计源码