Linux系统audit审计
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
linux审计是做什么?
是在对文件的操作做审计,这些操作不管是用vim,cp,rm,cat,底层来讲都是一些定义好的系统调用。
man 2 syscalls 查看内核支持的所有系统调用。
open
write
read
close
/etc/init.d/auditd start
自己根据需要去写审计规则:
auditctl
[root@ linux]# auditctl -l
No rules
[root@ linux]# auditctl -s
AUDIT_STATUS: enabled=0 flag=1 pid=0 rate_limit=0 backlog_limit=64 lost=10861 backlog=0 [root@ linux]# auditctl -e 1
AUDIT_STATUS: enabled=1 flag=1 pid=0 rate_limit=0 backlog_limit=64 lost=10861 backlog=0 auditctl
auditctl -a exit,always -S open -F path=/etc/shadow
auditctl -a exit,always -S open -F path=/etc/shadow -k "SHADOW"
[root@stu154 ~]#ausearch -k SHADOW
[root@stu154 ~]#ausearch -f /etc/shadow
[root@stu154 ~]#grep SHADOW /var/log/audit/audit.log
[root@stu154 ~]#auditctl -a entry,always -S all -F pid=3070 -k "SSHD" 想看看谁在什么时候SSHD登录过!
[root@stu154 ~]#auditctl -a exit,always -S all -F uid!=0 对于所有用户(除root外)
[root@stu154 ~]#auditctl -a exit,always -S open -S write -F uid!=0
只要是UID不为0的用户对/etc/shadow文件做了open,write的操作都会审计记录下来:[root@stu154 ~]#auditctl -a exit,always -S open -S write -F uid!=0 -F path=/etc/shadow -k "NOROOTUSER"
[root@stu154 ~]#ausearch -k "NOROOTUSER"
[root@stu154 ~]#ausearch -ui 1008
[root@stu154 ~]#ausearch -sv no 按照程序执行的返回值来有yes 和no两种
对于etc目录中的文件有写操作时,就记录下来!!!
[root@stu154 ~]#auditctl -w /etc -p w -k "PERM"
实例:
需要对一些常用的命令做审计:
ls bash ps insmod
[root@stu154 ~]#auditctl -a exit,always -S all -F path=/bin/insmod -F perm=rwa [root@stu154 ~]#auditctl -a exit,always -S all -F path=/bin/ps -F perm=rwa [root@stu154 ~]#auditctl -a exit,always -S all -F path=/bin/ls -F perm=rwa [root@stu154 ~]#auditctl -a exit,always -S all -F path=/bin/bash -F perm=rwa
-----------------------------------
对/lib/modules/$(uname -r)
[root@mail ~]# auditctl -a exit,always -S write -F dir=/lib/modules/2.6.18-128.el5/。