赞
踩
audit审计服务和aide系统入侵检测的功能类似。
aide可以检测某个时间段内指定的文件是否被修改,至于是哪个用户修改的,aide无法进行检测,也不能提供保护功能。
audit可以检测哪些用户,在哪些时间段,使用了哪些命令,对哪些文件进行了操作,仅仅只是提供记录的命令(日志),不提供保护功能。
audit记录的内容:时间与事件、事件的结果、触发时间的用户、所有认证机制(输入用户名和密码)、对关键文件的修改行为
audit对什么做审计:文件访问、系统调用、运行的命令、网络的访问行为
audit提供的工具:
ausearch:根据条件过滤审计日志
aureport:生成审计报告
部署audit:
yum -y install audit #安装audit systemctl start auditd #启动服务 # 需要说明,audit这个服务在主机不关机的情况下是不会关闭的 # 主配置文件/etc/audit/audit.conf 1、audit命令: auditctl -s #查询audit状态 auditctl -l #查看规则 auditctl -D #删除所有规则 2、命令行临时定义规则: auditctl -w path -p permission -k key_name # -w path:指定了监视的目录、文件、或者命令(通过which查找命令的完整路径) # -p permission:指明了操作 r、w、x、a(读、写、执行、属性) # -k key_name:自定义规则名,方便后期管理 例: auditctl -w /etc/passwd -p wa -k passwd_change #监控/etc/passwd文件的写入和属性变化 auditctl -w /etc/selinux/ -p wa -k selinux_change #监控/etc/selinux/目录的写入和属性变化 auditctl -w /usr/sbin/fdisk -p x -k disk_partition #监控fdisk命令是否执行 3、定义永久规则:(文件内容可以手写,也可以复制auditctl -l查看到的内容) vim /etc/audit/rules.d/audit.rules -w /etc/passwd -p wa -k passwd_change -w /etc/selinux/ -p wa -k selinux_change -w /usr/sbin/fdisk -p x -k disk_partition 4、测试: useradd david ausearch -k passwd_change #查看审计日志,过滤passwd_change的日志 fdisk -l ausearch -k disk_partition #查看审计日志,过滤disk_partition的日志
audit规则定义:
测试:
写总结的第六十二天!!!
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。