audit详细使用配置

audit是什么

Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施

audit使用

auditctl -l

查看所有审计规则

auditctl -D

删除所有审计规则

service auditd start

启动服务

service auditd restart

服务重启

augenrules --load

重载配置信息

service auditd status

查看服务状态

/etc/audit/auditd.conf

应用的配置信息

/etc/audit/rules.d/audit.rules

添加规则的文件

/var/log/audit

日志所在目录

添加审计规则

了解 audit 审计规则
audit 审计规则分成三个部分:

控制规则:这些规则用于更改审计系统本身的配置和设置。
文件系统规则:这些是文件或目录监视。 使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。
系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。
控制规则
控制规则可以在/etc/audit/audit.rules 中设置。主要包括:

-D #删除所有当前装载的审核规则#

-b 8192 #在内核中设定最大数量的已存在的审核缓冲区为 8Mb#

-e 2 #锁定审核配置#

文件系统规则
可以通过 auditctl 命令设置。监控文件系统行为(依靠文件、目录的权限属性来识别)

规则格式:

-w 路径

-p 权限

-k 关键字

其中-p 权限的动作分为四种

r — 读取文件或者目录。

w — 写入文件或者目录。

x — 运行文件或者目录。

a — 改变在文件或者目录中的属性。

常用监视指令示例:

auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
-k 给当前这条监控规则起个名字,方便搜索过滤
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

查看监视日志ausearch使用

ausearch -f /路径
ausearch -i -k key – key是添加规则时加的关键词

Audit log

type: audit消息类型, 消息类型有100多种,可以查看https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/sec-audit_record_types
msg: 消息的ID, 它有两个部分组成, 分号之前的是Unix的时间戳,分号之后的是真正的event ID, 同一个应用程序的相同system call拥有相同的event ID, 同一个应用的不同system call则不同。
arch: 调用system call的CPU构架, 可以通过ausearch -i来指定搜索相关的log。
syscall: system call的类型, 可以查看https://github.com/torvalds/linux/blob/master/arch/sh/include/asm/unistd.h。
success: system call是成功或者失败。
exit: system call的返回值。
a0 to a3: 系统调用的前四个参数的数字化,可以通过ausearch解码查看。
items: 传递到应用程序的字符串数量。
ppid: 父进程的PID。
pid: 该进程的PID。
auid: audit ID, 针对某一用户一个进程会被分配一个audit ID, 该audit ID会被传递给子进程,尽管在系统中用户切换,该audit ID将始终保持一致。 这样我们可以针对对某一用户进行trace。
uid: user ID。
gid: group ID。
euid, suid, fsuid: Effective user ID, set user ID, and file system user ID.
egid, sgid, fsgid: Effective group ID, set group ID, and file system group ID.
tty: 应用程序开启的终端,这种情况下pseudo-terminal used in an SSH session.
ses: 用户登录的session ID.
comm: 出现在任务列表中,应用程序的名称。
exe: 二进制程序的解析路径。
subj: 进程执行时selinux上下文
key: 如果audit了很多的目录文件,分配一个key string方便后面我们通过ausearch去过滤这类log。
cwd: 进程的执行目录.
另一种audit log格式:
inode: 指出了与文件或目录相对应的inode number,可以通过下面的命令查看inode对应的文件或目录:find/ -inum -print.
dev: 指出文件或目录对应的device ID,在例子中,对应/dev/fd/0这个设备.
mode: 对应文件或目录的权限
ouid: 对应文件的owner’s user ID.
ogid: 对应文件的owner’s group ID

你可能感兴趣的:(服务器,linux,运维)