Linux系统审计详解_审计日志和操作日志区别

【推荐阅读】

浅谈linux 内核网络 sk_buff 之克隆与复制

深入linux内核架构--进程&线程

了解Docker 依赖的linux内核技术

什么是系统的审计？

审计的目的是基于事先配置的规则生成日志，记录可能发生在系统上的事件（正常或非正常行为的事件），审计不会为系统提供额外的安全保护，但她会发现并记录违反安全策略的人及其对应的行为。auditd（或 auditd 守护进程）是Linux审计系统中用户空间的一个组件，其负责将审计记录写入磁盘。

审计能够记录日志的内容

1.. 日期与事件以及事件的结果

1.. 触发事件的用户

1.. 所有认证机制的使用都可以被记录，如ssh等

1.. 对关键数据文件的修改行为等都可以被记录

使用auditd做系统的审计

使用audit监控/etc/ssh/sshd_config

当该文件发生任何变化即记录日志

通过手动和ausearch工具查看日志内容

配置audit审计系统：

yum -y install audit
systemctl start auditd
 cat /etc/audit/auditd.conf |grep log_file          #查看配置文件，确定日志位置
    log_file = /var/log/audit/audit.log               #日志文件路径

审计规则：

[root@proxy ~]# auditctl  -s                     #查询状态
[root@proxy ~]# auditctl  -l                      #查看规则
[root@proxy ~]# auditctl  -D                    #删除所有规则

定义临时文件系统规则：

1、设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志

auditctl -w  /etc/passwd  -p wa  -k  passwd_change

2、设置规则，监控/etc/selinux目录

auditctl -w  /etc/selinux/  -p wa  -k  selinux_change

3、设置规则，监控fdisk程序

auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition

4、设置规则，监控sshd_conf文件

auditctl  -w  /etc/ssh/sshd_conf  -p warx  -k  sshd_config

设置永久文件系统规则

/etc/audit/rules.d/audit.rules          #写audit的规则

ausearch -m #按消息类型查找

ausearch -ul #按登陆ID查找

ausearch -ua #按uid和euid查找

ausearch -ui #按uid查找

ausearch -ue #按euid查找

ausearch -ga #按gid和egid查找

ausearch -gi #按gid查找

ausearch -ge #按egid查找

ausearch -c #按cmd查找

ausearch -x #按exe查找

ausearch -sc #按syscall查找

ausearch -p #按pid查找

ausearch -sv #按syscall的返回值查找（yes/no）

ausearch -f #按文件名查找

ausearch -tm #按连接终端查找(term/ssh/tty)

ausearch -hn #按主机名查找

ausearch -k #按特定的key值查找

ausearch -w #按在audit rule设定的字符串查找

ausearch -f /etc/passwd

显示成功事件

生成9:00～18:00这段时间内的报表

aureport -ts 9:00-te 18:00-f