linux审计功能及规则 (audit.rule)

linux审计功能(audit log)是什么

audit是Linux自带的一套审计功能,可以监控我们日常的一些操作,然后将这些操作记录在audit.log中,方便我们查看日志。

审计规则是什么

在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。

规则详解
  • -a :表示要添加规则
  • -F 表示要添加一个过滤条件
  • -S execve:这是要监视的系统调用。execve 是一个系统调用,用于执行新进程。通过监视 execve 系统调用,可以捕获新进程的启动。
  • -w path :监视的文件路径
  • -p rwxa: 权限 监视读取(r),写入(w),执行(x),属性更改(a)
  • -k value:为事件添加一个标记,方便在审计日志中查找
一些常见规则示例

setuid 和 setgid 规则:这些规则用于监视用户在执行程序时提升其权限到超级用户 (root) 或组权限时的活动。它们捕获了在执行execve系统调用时 euid 和 egid 的变化,以及用户尝试提升权限的情况。
文件和目录权限修改规则:这一系列规则用于监视文件和目录的权限修改、删除和重命名等活动,以及相关的审计事件。这包括 fchown、renameat、rmdir、unlink、unlinkat、lremovexattr、ftruncate、chown、fchmodat、truncate 等操作。

-a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=0 -k setuid
-a always,exit -F arch=b64 -S execve -C gid!=egid -F egid=0 -k setgid

模块操作规则:这些规则用于监视内核模块相关的活动,包括 finit_module、create_module、init_module 等。它们捕获了模块加载和卸载的情况。

a always,exit -F arch=b64 -S create_module -k module-change
-a always,exit -F arch=b32 -S create_module -k module-change

扩展属性 (Extended Attributes) 操作规则:这些规则监视文件和目录的扩展属性的操作,包括 lsetxattr、removexattr、setxattr、fsetxattr 等。扩展属性可用于存储额外的文件和目录元数据。

-a always,exit -F arch=b64 -S removexattr -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S removexattr -F auid>=1000 -F auid!=4294967295 -k perm_mod

rename 规则:监视文件重命名操作,包括 rename 系统调用。

-a always,exit -F arch=b64 -S rename -F auid>=1000 -F auid!=4294967295 -k delete
-a always,exit -F arch=b32 -S rename -F auid>=1000 -F auid!=4294967295 -k delete

lchown 规则:监视 lchown 系统调用,用于修改文件的用户和组。

-a always,exit -F arch=b64 -S lchown -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S lchown -F auid>=1000 -F auid!=4294967295 -k perm_mod

fchmod 和 chmod 规则:监视 fchmod 和 chmod 系统调用,用于修改文件的权限。

-a always,exit -F arch=b64 -S fchmod -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S fchmod -F auid>=1000 -F auid!=4294967295 -k perm_mod-a always,exit -F arch=b64 -S chmod -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S chmod -F auid>=1000 -F auid!=4294967295 -k perm_mod

特权操作规则:这些规则监视一些具有特权的系统命令的执行,如 mount、passwd、
sudo、crontab、setsebool、su、unix_chkpwd 等。它们捕获了执行这些命令的情况。

-a always,exit -F arch=b64 -S fchmod -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S fchmod -F auid>=1000 -F auid!=4294967295 -k perm_mod

审计日志文件的监视规则:这些规则监视审计日志文件以及与用户账户和组有关的文件(如 /etc/passwd、/etc/group、/etc/shadow、/etc/gshadow、/etc/security/opasswd 等)的访问和修改。这有助于跟踪对身份和访问控制相关文件的更改。

-w /etc/gshadow -p wa -k identity  
-w /etc/group -p wa -k identity
-w /etc/shadow -p wa -k identity

kmod 规则:监视 kmod 命令的使用,kmod 用于加载和卸载内核模块。

-w /usr/bin/kmod -p x -F auid!=4294967295 -k module-change

实例

  1. 配置audit审计系统
yum -y install audit
systemctl start auditd
cat /etc/audit/auditd.conf |grep log_file          #查看配置文件,确定日志位置
log_file = /var/log/audit/audit.log               #日志文件路径
  1. 创建规则
    可以参照上边的规则实例去创建规则
  2. 对规则的操作
 auditctl  -s                     #查询状态auditctl  -l                     #查看规则auditctl  -D                    #删除所有规则

备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。

  1. 查看日志文件
ausearch -hn #按主机名查找
ausearch -k #按特定的key值查找
ausearch -w #按在audit rule设定的字符串查找
ausearch -f #按文件名查找 例如:ausearch -f /etc/passwd
aureport -ts 9:00-te 18:00-f    #生成9:0018:00这段时间内的报表

在记录的时候有什么问题,欢迎大家在评论中提出~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/191066.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

计网Lesson6 - IP 地址分类管理

文章目录 1. I P IP IP 地址定义2. I P v 4 IPv4 IPv4 的表示方法2.1 I P v 4 IPv4 IPv4 的分类编址法2.2 I P v 4 IPv4 IPv4 的划分子网法2.2.1 如何划分子网2.2.2 如何确定子网的借位数2.2.3 总结2.2.4 题目练习 2.3 I P v 4 IPv4 IPv4 的无分类编址法 1. I P IP IP 地…

04.里氏替换原则(Liskov Substitution Principle)

暴论:一般的,如果一个富二代不想着证明自己,那么他一辈子都会衣食无忧。 一言 里氏替换原则想告诉我们在继承过程中会遇到什么问题,以及继承有哪些注意事项。 概述 这是流传较广的一个段子: “一个坐拥万贯家财的富二…

亚马逊云科技Aurora MySQL在复制性能提升上的不断优化和尝试

前言 Amazon Aurora是亚马逊云科技自研的云原生关系数据库,它在提供和开源数据库MySQL、PostgreSQL的完好兼容性同时,也能够提供和商业数据库媲美的性能和可用性。 Aurora的性能提升不仅包含应用读写吞吐量的提升,也包含复制延迟的降低。一个…

代码随想录算法训练营第38天| 509. 斐波那契数 70. 爬楼梯 746. 使用最小花费爬楼梯

JAVA代码编写 动态规划(Dynamic Programming) 一个问题可以划分为多个子问题,且子问题之间有关联,就可以使用动态规划。 动态规划问题步骤: 确定dp数组(dp table)以及下标的含义确定递推公式…

栈顺序存储的实现(详解)

栈是一种数据结构,它具有后进先出(LIFO)的特性。栈可以用来存储一组元素,并且只能在栈顶进行插入和删除操作。栈的基本概念包括: 1. 入栈(push):将元素添加到栈顶的操作。 2. 出栈&…

图片消除笔哪些软件有?这三款智能消除软件值得收藏

图片消除笔哪些软件有?日常在社交媒体上分享照片或制作海报,广告时,经常会遇到需要删除图片中多余的元素,比如水印、日期、人物等,以便更好的去将这些图片进行二次创作,那么有哪些软件有图片消除笔可以选择…

MySQL5.7安装与配置:自动化一键安装配置

介绍 本文介绍了一个自动化安装MySQL的Shell脚本。该脚本可以帮助用户快速安装MySQL,并自动进行配置和初始化。通过使用该脚本,用户无需手动执行繁琐的安装步骤,大大简化了MySQL的安装过程。 使用shell自动化安装教程 1. 复制脚本 首先&a…

webGIS使用JS,高德API完成简单的智慧校园项目基础

代码实现 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta http-equiv"X-UA-Compatible" content"IEedge"><meta name"viewport" content"widthdevice-width, i…

基于jsonrpc4j实现JSON-RPC over TCP

1.JSON-RPC说明 JSON-RPC是一个无状态且轻量级的远程过程调用(RPC)协议。 它主要定义了一些数据结构及其相关的处理规则。 它运行时可以基于tcp(socket),http等不同的消息传输方式&#xff0c; 即它不关心底层传输方式的细节。 它使用JSON&#xff08;RFC 4627&#xff09;作为…

Java研学-配置文件

一 配置文件 1 作用–解决硬编码的问题 在实际开发中,有时将变量的值直接定义在.java源文件中;如果维护人员想要修改数据,无法完成(因为没有修改权限),这种操作称之为硬编码 2 执行原理: 将经常需要改变的数据定义在指定类型的文件中,通过java代码对指定的类型的文件进行操作…

鸿蒙学习之TypeScript 语法理解笔记

1、变量及数据类型 // string&#xff1a;字符串&#xff0c;单引号或双引号 let msg : string hello wprld console.log(msg:msg)// number&#xff1a;数值、整数、浮点let num :number 21console.log(num:num)//boolean&#xff1a;布尔let finished: boolean truecons…

读书笔记:《Effective Modern C++(C++14)》

Effective Modern C&#xff08;C14&#xff09; GitHub - CnTransGroup/EffectiveModernCppChinese: 《Effective Modern C》- 完成翻译 Deducing Types 模版类型推导&#xff1a; 引用&#xff0c;const&#xff0c;volatile被忽略数组名和函数名退化为指针通用引用&#…

java学习part30callabel和线程池方式

140-多线程-线程的创建方式3、4&#xff1a;实现Callable与线程池_哔哩哔哩_bilibili 1.Callable 实现类 使用方式 返回值 2.线程池

DPDK-Hello-World示例应用程序

文章目录 前言环境安装编写hello-world程序 前言 目标: 在linux上安装DPDK的程序编写环境&#xff0c;编写和运行DPDK的hello world程序。 声明&#xff1a;我不清楚DPDK具体是个啥。DPDK的目的大概是&#xff1a;原先的网络数据需要从内核层拷贝到用户层&#xff0c;在IO越来…

检测判断IP合法性API接口

检测判断IP合法性API接口 一、检测判断IP合法性API接口二、使用步骤1、接口2、请求参数3、请求参数示例4、接口 返回示例 三、 如何获取appKey和uid1、申请appKey:2、获取appKey和uid 四、重要说明 一、检测判断IP合法性API接口 一款免费的帮助你检测判断IP合法性API接口 二、…

“于阗佛国、美食和田”——“万人游新疆”推广活动走进企业

11月23日&#xff0c;在安徽省文旅厅、安徽省援疆指挥部、和田地区文旅局的指导和支持下&#xff0c;由安徽环球文旅集团组织的“于阗佛国、美食和田”——“万人游新疆”分享会在安徽合肥市财富广场瑞众保险&#xff08;原华夏保险&#xff09;3楼黄山厅会议室举行&#xff0c…

【Android】布局优化方案

布局优化的核心问题就是要解决因布局渲染性能不佳而导致应用卡顿的问题。 绘制流程 绘制流程&#xff1a;安卓应用的绘制流程是在UI线程上执行的&#xff0c;主要包括以下几个步骤&#xff1a; 测量&#xff08;Measure&#xff09;&#xff1a;从视图树的根节点开始&#x…

【06】ES6:数组的扩展

一、扩展运算符 扩展运算符&#xff08;spread&#xff09;是三个点&#xff08;…&#xff09;。它是 rest 参数的逆运算&#xff0c;将一个数组转为用逗号分隔的参数序列。 1、基本语法 [...array] // array表示要转换的数组console.log(...[1, 2, 3]) // 1 2 3 console.l…

Python操作合并单元格

如何使用python操作Excel实现对合并单元格的一系列操作 01、准备工作&#xff08;使用镜像下载&#xff09; pip install openpyx -i https://pypi.tuna.tsinghua.edu.cn/simple 02、简单示例 简单创建一个工作簿进行示范&#xff1a; from openpyxl import Workbook from o…

波奇学C++:智能指针(二):auto_ptr, unique_ptr, shared_ptr,weak_ptr

C98到C11&#xff1a;智能指针分为auto_ptr, unique_ptr, shared_ptr&#xff0c;weak_ptr,这几种智能都是为了解决指针拷贝构造和赋值的问题 auto_ptr&#xff1a;允许拷贝&#xff0c;但只保留一个指向空间的指针。 管理权转移&#xff0c;把拷贝对象的资源管理权转移给拷贝…