Linux审计，audit工具的用法，配置审计过程与阅读审计内容_audit group工具

一、Linux的审计功能

1.什么是审计

审计的目的是基于事先配置的规则生成日志，记录可能发生在系统上的事件（正常或非正常行为的事件），审计不会为系统提供额外的安全保护，但她会发现并记录违反安全策略的人及其对应的行为。

2.审计能够记录到日志的内容

-事件发生的日期和结果，触发事件的用户

-远程连接记录，如访问ssh，ftp

-对标记目录或文件的修改行为

-监控调用的系统资源

-记录用户的运行的命令

-监控网络访问行为

 

二、audit工具

audit是linux安全体系的重要组成部分，是一种“被动”的防御体系。在内核里有内核审计模块，记录系统中的各种动作和事件，比如系统调用，文件修改，执行的程序，系统登入登出和记录所有系统中所有的事件，它的主要目的是方便管理员根据日记审计系统是否允许有异常，是否有入侵等等，说穿了就是把和系统安全有关的事件记录下来。

源码地址：https://github.com/linux-audit/audit-userspace

1.安装audit

安装软件包，查看配置文件（确定审计日志的位置）

1. [root@proxy ~]# yum -y install audit                //安装软件包
2. [root@proxy ~]# cat /etc/audit/auditd.conf            //查看配置文件，确定日志位置
3. log_file = /var/log/audit/audit.log                //日志文件路径
4. [root@proxy ~]# systemctl start auditd                //启动服务
5. [root@proxy ~]# systemctl enable auditd            //设置开机自启

 

2.配置审计规则

可以使用auditctl命令控制审计系统并设置规则决定哪些行为会被记录日志。

语法格式如下：

1. [root@proxy ~]# auditctl -s                        //查询状态
2. [root@proxy ~]# auditctl -l                        //查看规则
3. [root@proxy ~]# auditctl -D                        //删除所有规则

定义临时文件系统规则：

语法格式：auditctl -w path -p permission -k key_name

 path为需要审计的文件或目录

 权限可以是r,w,x,a(r为读，w为写，x为执行，a代表文件或目录的属性发生变化)

 Key_name为可选项，方便识别哪些规则生成特定的日志项

1. [root@proxy ~]# auditctl -w /etc/passwd -p wa -k passwd_change
2. //设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
3. [root@proxy ~]# auditctl -w /etc/selinux/ -p wa -k selinux_change
4. //设置规则，监控/etc/selinux目录
5. [root@proxy ~]# auditctl -w /usr/sbin/fdisk -p x -k disk_partition
6. //设置规则，监控fdisk程序
7. [root@proxy ~]# auditclt -w /etc/ssh/sshd_conf -p warx -k sshd_config
8. //设置规则，监控sshd_conf文件

如果需要创建永久审计规则，则需要修改规则配置文件：

1. [root@proxy ~]# vim /etc/audit/rules.d/audit.rules
2. -w /etc/passwd -p wa -k passwd_changes
3. -w /usr/sbin/fdisk -p x -k partition_disks

 

3.查看并分析日志

1）手动查看日志

查看SSH的主配置文件/etc/ssh/sshd_conf，触发r(读）审计，然后查看audit日志信息：

1. [root@proxy ~]# cat /etc/ssh/sshd_conf
2. [root@proxy ~]# tailf /var/log/audit/audit.log
3. type=SYSCALL msg=audit(1517557590.644:229228): arch=c000003e
4. syscall=2 success=yes exit=3
5. a0=7fff71721839 a1=0 a2=1fffffffffff0000 a3=7fff717204c0
6. items=1 ppid=7654 pid=7808 auid=0 uid=0 gid=0 euid=0 suid=0
7. fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="cat"
8. exe="/usr/bin/cat"
9. subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"
10. .. ..
11. #内容分析
12. # type为类型
13. # msg为(time_stamp:ID)，时间是date +%s（1970-1-1至今的秒数）
14. # arch=c000003e，代表x86_64（16进制）
15. # success=yes/no，事件是否成功
16. # a0-a3是程序调用时前4个参数，16进制编码了
17. # ppid父进程ID，如bash，pid进程ID，如cat命令
18. # auid是审核用户的id，su - test, 依然可以追踪su前的账户
19. # uid，gid用户与组
20. # tty:从哪个终端执行的命令
21. # comm="cat"         用户在命令行执行的指令
22. # exe="/bin/cat"        实际程序的路径
23. # key="sshd_config"    管理员定义的策略关键字key
24. # type=CWD        用来记录当前工作目录
25. # cwd="/home/username"
26. # type=PATH
27. # ouid(owner's user id）    对象所有者id
28. # guid(owner's groupid）    对象所有者id

2）通过工具搜索日志

系统提供的ausearch命令可以方便的搜索特定日志，默认该程序会搜索/var/log/audit/audit.log，ausearch options -if file_name可以指定文件名。

1. [root@proxy ~]# ausearch -k sshd_config -i    
2. //根据key搜索日志，-i选项表示以交互式方式操作