赞
踩
为防止audit在不同系统上的不同,还是介绍下环境 centos 6.3 x64
直奔主题,审计系统是什么、重要性略!
audit是linux内核的特性,可以通过内核参数audit=1来启用。
/etc/audit/audit.rules是audit的规则文件,本文主要讲述如何利用audit来监视系统重要资源。
一、监控文件系统行为(依靠文件、目录的权限属性来识别)
规则格式:-w 路径 -p 权限 -k 关键字
其中权限动作分为四种
r 读取文件
w 写入文件
x 执行文件
a 修改文件属性
示例,监控/etc/passwd文件的修改行为(写,权限修改)
将上述内容加入到audit.rules中即可实现对该文件的监视。
同理,为了维护系统正常,下列资源也应该被监视。
注:如果没有-p选项,则默认监视所有动作rwxa
二、监控系统调用行为(依靠系统调用来识别)
规则:-a 一系列动作 -S 系统调用名称 -F 字段=值 -k 关键字
列举常见应该被监视的系统调用
注:请查阅系统调用列表后决定监控那种行为,系统调用是底层的、全局性的,监控不合适的调用,会给系统带来巨大负担。
audit.rules 样本
读取audit报告
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。