linux audit(安全审计功能)

今天系统中遇到rc.local被人删除掉的问题，从同事那里得知一工具可以监控文件被删除或修改是被谁和哪条指令修改的，就是audit，总结了一下，尤其是注意事项，希望后续可以省掉一些问题定位时间。

Linux安全审计功能 audit详解
动机
我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息，但是对于用户的操作行为（如某用户修改删除了某文件）却无法通过这些日志文件来查看，如果我们想实现监管企业员工的操作行为就需要开启审计功能，也就是audit
启动
service auditd start
注意事项
1. 保证/etc/audit/auditd.conf 权限为644，不能过高
2. 修复/etc/audit/auditd.conf中从/dev/null修改为log_file=/var/log/audit/audit.log
3. 保证/sbin/audispd 权限为0755，或0750
4. 执行重启service auditd restart，若再失败，systemctl status auditd查看报错
配置
vim /etc/audit/rules.d/audit.rules
追加类似如下内容:
-a always,exit -F path=/usr/lib64/libfuse.so.2 -F perm=warx -F key=keyword-for-filter-log
-a always,exit -F path=/usr/lib64/libfuse.so.2.9.3 -F perm=warx -F key=keyword-for-filter-log
-a always,exit -F path=/usr/lib64/libfuse.so.2.9.2 -F perm=warx -F key=keyword-for-filter-log
-a always,exit -F path=/etc/rc.local -F perm=warx -F key=keyword-for-rc-local
-a always,exit -F path=/etc/rc.d/rc.local -F perm=warx -F key=keyword-for-rc-local

-F代表监控这个文件在什么操作下触发时记录日志

修改配置规则后，重启auditd，让其生效
service auditd restart
(由于其他配置原因，该服务无法由systemctl 启动或关闭，仅能使用service)

参考：http://www.linuxe.cn/post-255.html
生效方式
	auditctl –l查看
	audit可以自定义对指定的文件或命令进行审计（如监视rm命令被执行、/etc/passwd文件内容被改变），只要配置好对应规则即可，配置规则可以通过命令行（临时生效）或者编辑配置文件（永久生效）两种方式来实现
	
日志中怎样查看
	阅读方式: grep 配置文件中写的keyword

cat /var/log/audit/audit.log| grep keyword-for-rc-local

	ausearch