Linux audit 安全审计干货_audit.rules配置审计规则

作者：一键难忘520 | 2024-06-20 22:55:39

踩

audit.rules配置审计规则

简介

	简单来说，修改两个配置文件（/etc/audit/audit.rules 和/etc/audit/auditd.conf ），然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤：内核选项勾选和安装软件包（上篇文章已介绍）。添加审计规则，修改配置文件，然后启用 audit 守护进程进行日志记录，最后生成审计日志来分析数据。
1

在这里插入图片描述

Linux audit 架构示意图

项目	说明
User	记录用户空间中产生的事件
Task	跟踪应用程序的子进程（fork）
Exit	当一个系统调用结束时判断是否记录该调用
Exclude	删除（过滤）不合格事件
auditctl	即时控制审计守护进程行为的工具
/etc/audit/audit.rules	记录审计规则的文件
aureport	查看和生成审计报告的工具
ausearch	查找审计事件的工具
auditspd	转发事件通知给其他应用程序，而不是写入到审计日志文件中
autrace	一个用于跟踪进程的命令
/etc/audit/auditd.conf	auditd工具的配置文件

一丶审计规则（Auditctl 和 audit.rules）

可以先用 auditctl -h，查看auditctl命令使用规则

auditctl [选项] filter,action -S syscall -F condition -k label

-S 表示系统调用号或名字
-F 表示规则域。
-k 表示设置审计规则上的过滤关键

项目	可选参数	说明
filter	user,exit,task,exclude	哪个内核规则匹配过滤器应用在事件中
action	always, never	是否审核事件
syscall	all, open	所有的系统调用都可以在/usr/include/asm/unistd_64.h 文件中找到
condition	euid=0, arch=b64	进一步修改规则与特定架构、组 ID、进程 ID 和其他内容为基础的事件相匹配
label	任意文字	标记审核事件并检索日志

audit 审计规则分成三个部分：

控制规则：用于更改审计系统本身的配置/设置。
-D #删除所有当前装载的审核规则#
-b 8192 #在内核中设定最大数量的已存在的审核缓冲区为 8Mb#
-e 2 #锁定审核配置#

文件系统规则：文件或目录监视，可以审核对特定文件或目录的任何类型的访问。
用auditctl命令，监控文件，系统行为
规则格式：

 			-w 路径  
 			-p 权限：
 					  r — 读取文件或者目录。
 					  w — 写入文件或者目录。
 					  x — 运行文件或者目录。
 					  a — 改变在文件或者目录中的属性。
 			-k 关键字
 			
 			举例：要监控/etc/passwd 文件的修改行为
 					#auditctl -w /etc/passwd -p wa
1
2
3
4
5
6
7
8
9
10

系统调用规则：用于监视由任何进程或特定用户进行的系统调用。

 -a 添加一条系统调用监控规则
 -S 显示需要监测的系统调用的名称
 -D 删除所有规则
 -d 删除一条规则和-a 对应
 -w 写入文件或者目录。
 -W 删除一条规则和-w 对应
1
2
3
4
5
6

auditctl命令是临时的，永久生效需要放到audit.rules文件中。如果在运行守护进程时添加规则/

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/一键难忘520/article/detail/741155