当前位置:   article > 正文

audit-审计服务_audit服务

audit服务

audit审计服务和aide系统入侵检测的功能类似。

aide可以检测某个时间段内指定的文件是否被修改,至于是哪个用户修改的,aide无法进行检测,也不能提供保护功能。

audit可以检测哪些用户,在哪些时间段,使用了哪些命令,对哪些文件进行了操作,仅仅只是提供记录的命令(日志),不提供保护功能。

audit记录的内容:时间与事件、事件的结果、触发时间的用户、所有认证机制(输入用户名和密码)、对关键文件的修改行为

audit对什么做审计:文件访问、系统调用、运行的命令、网络的访问行为

audit提供的工具:

ausearch:根据条件过滤审计日志
aureport:生成审计报告
  • 1
  • 2

部署audit:

yum -y install audit	#安装audit
systemctl start auditd	#启动服务
# 需要说明,audit这个服务在主机不关机的情况下是不会关闭的
# 主配置文件/etc/audit/audit.conf

1、audit命令:
	auditctl -s	#查询audit状态
	auditctl -l	#查看规则
	auditctl -D	#删除所有规则

2、命令行临时定义规则:
	auditctl -w path -p permission -k key_name
	# -w path:指定了监视的目录、文件、或者命令(通过which查找命令的完整路径)
	# -p permission:指明了操作 r、w、x、a(读、写、执行、属性)
	# -k key_name:自定义规则名,方便后期管理

	例:
	auditctl -w /etc/passwd -p wa -k passwd_change	#监控/etc/passwd文件的写入和属性变化
	
	auditctl -w /etc/selinux/ -p wa -k selinux_change	#监控/etc/selinux/目录的写入和属性变化
	
	auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition		#监控fdisk命令是否执行


3、定义永久规则:(文件内容可以手写,也可以复制auditctl -l查看到的内容)
vim /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_change
-w /etc/selinux/ -p wa -k selinux_change
-w  /usr/sbin/fdisk  -p x  -k  disk_partition
	

4、测试:
useradd david
ausearch -k passwd_change	#查看审计日志,过滤passwd_change的日志

fdisk -l 
ausearch -k disk_partition	#查看审计日志,过滤disk_partition的日志
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37

audit规则定义:
在这里插入图片描述

测试:
在这里插入图片描述

在这里插入图片描述

写总结的第六十二天!!!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/黑客灵魂/article/detail/759029
推荐阅读
相关标签
  

闽ICP备14008679号