zoukankan      html  css  js  c++  java
  • recording just for inquiry in the future

    auditd审计

    相关命令有: auditd, auditctl, ausearch, aureport

    相关文件: /etc/audit/auditd.conf, /etc/audit/audit.rules, /var/log/audit/audit.log

    主要有两种方法进行设置,一是直接使用命令auditctl, 二是在audit.rules里写跟踪监视规则

     # auditctl -w /etc/passwd -p rwxa -k CFG_passwd

    一般监视触发权限设为 - p wa就好, 额外的不必要的如rx, 会产生过多的审计记录

    -k CFG_passwd, 设置审计规则的过滤器关键字,主要是用于ausearch -k key_string 好搜索,比如,有多个规则

    去监视同一个文件或目录的时候,就可以根据-k key_string来过滤、唯一的定位要查看的规则产生的审计记录

    -k key_string: ... typical use is for when you have several rules that together satisfy a security requirement

    查看审计记录

    可以直接查看/var/log/audit/audit.log

    可以用命令 ausearch, 它 search audit records based on a certain option:

      --event   search based on event id

      --comm  ... command line name (comm=command)

      -- exit    ... syscall exit code

      --file -f   based on file name, this option is most commonly used.  

    # ausearch -f /etc/passwd的部分结果

    ----
    time->Tue Oct 13 16:17:21 2015
    type=PATH msg=audit(1444724241.720:1382): item=0 name="/etc/passwd" inode=16516438 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00
    type=CWD msg=audit(1444724241.720:1382):  cwd="/root/Desktop"
    type=SYSCALL msg=audit(1444724241.720:1382): arch=40000003 syscall=5 success=yes exit=3 a0=138ef8 a1=80000 a2=1b6 a3=138eb5 items=1 ppid=8010 pid=27369 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=142 comm="vi" exe="/bin/vi" key=(null)
    ----
    每节分几个部分的内容:

      time: 审计时间

      type=path : 被监视、被审计文件的路径

      type=cwd :  表示发生审计事件时,用户所处的当前路径

      type=syscall: 系统调用,是哪个命令触发的审计事件,用户用的是哪个命令,

        上面显示中,comm="vi"表示使用的是vi命令去编辑的/etc/passwd文件,exe="/bin/vi"表示vi的路径

    aureport

      生成审计报表,根据选项生成相应方面的报表信息

      aureport -c : 关于配置方面的审计报表信息

            -f, -m, -u, -l等等

  • 相关阅读:
    crontab 实际的应用
    php 求素数的二种方法
    linux svn配置hooks
    php执行超时(nginx,linux环境)
    php使用strpos,strstr,strchr注意啦,若是数字查找则会当成ASCII码处理
    php 处理大文件方法 SplFileObject
    高德地图定位
    jquery 实现鼠标点击div盒子移动功能
    centos 安装php缓存 apc或zend-opcode
    phpQuery用法总结
  • 原文地址:https://www.cnblogs.com/bkylee/p/4874988.html
Copyright © 2011-2022 走看看