Linux 审计 ¶
#auditd
See also: readhat auditd
审计控制-auditctl ¶
审计文件读写 ¶
auditctl -w /etc/ssh/sshd_config -p warx -k sshd_config # 审计对sshd_config文件的读写
auditctl -w /etc/passwd -p wa -k passwd_changes
auditctl -w /etc/selinux/ -p wa -k selinux_changes
- -w 增加文件夹监控点
- -k 设置日志关键字
- -p 监控权限使用(r-读取/w-写入/a-查看状态/x-执行)
- -S 对系统调用增加监控点
审计程序的运行 ¶
要定义一条规则,记录所有 /bin/id 程序的执行,请执行以下命令:
auditctl -a always,exit -F exe=/bin/id -F arch=b64 -S execve -k execution_bin_id
- -a 审计条件,在退出时审计
- -F 过滤条件,这里是 exec=/bin/id
- -S execv, 监控 execv 系统调用
日志转换 ¶
ausearch -i | grep key
搜索包含指定关键字的审计日志并转换为可以识读的格式
审计日志实例 ¶
审计当天登录失败日志 ¶
ausearch -m USER_LOGIN -ts '12/13/2022' '08:00:00' -sv no
- -m USER_LOGIN 查找的消息类型
- -ts 起止时间
- -sv 成功或失败:成功yes,失败no
评论
请登录后发表评论。
暂无评论。成为第一个评论者!