Linux使用audit审计用户执行命令

注:本文基于CentOS 6.5编写

1、背景

audit作为审计组件,除了可以监控文件的修改,还可以监控系统调用的执行。受snoopy启发,通过audit监控execve(系统调用,同样可以实现用户操作的记录。

2、配置

audit作为基本组件会随着系统一起安装,就不再介绍安装方式了,反正也可以直接yum安装。

添加如下规则,让audit监控execve的调用记录,

[root@CentOS-6-5 /home]# auditctl -S execve -a exit,always
[root@CentOS-6-5 /home]# auditctl -l
-a always,exit -S execve

其中,-S指定监控的系统调用,-a表示添加一条审计规则,在系统调用结束时生成一条审计日志,也就是我们需要的操作日志。

对应,如果要删除该条规则,可如下操作,

[root@CentOS-6-5 /home]# auditctl -d  exit,always -S execve
[root@CentOS-6-5 /home]# auditctl -l
No rules

3、效果

配置好审计规则后,执行命令,/var/log/audit/audit.log中会有如下打印,

type=SYSCALL msg=audit(1545212248.965:20000): arch=c000003e syscall=59 success=yes exit=0 a0=1c2d780 a1=1bf2450 a2=1bf1670 a3=7fff0a65d200 items=2 ppid=15571 pid=24347 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=127 comm="who" exe="/usr/bin/who" key=(null)
type=EXECVE msg=audit(1545212248.965:20000): argc=1 a0="who"
type=CWD msg=audit(1545212248.965:20000):  cwd="/home"
type=PATH msg=audit(1545212248.965:20000): item=0 name="/usr/bin/who" inode=1314149 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
type=PATH msg=audit(1545212248.965:20000): item=1 name=(null) inode=1046932 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

通过日志,我们便可以知道用户执行了who命令。

4、远程ssh执行命令

同样,audit也可以记录远程ssh执行命令,和snoopy类似,只不过autit日志中充斥了大量无用的一些打印。

...
type=EXECVE msg=audit(1545212408.278:20194): argc=2 a0="/usr/sbin/sshd" a1="-R"
...
type=EXECVE msg=audit(1545212408.365:20212): argc=3 a0="bash" a1="-c" a2="pwd"

你可能感兴趣的:(Linux)