audit 审计

最新推荐文章于 2023-10-11 19:08:48 发布
最新推荐文章于 2023-10-11 19:08:48 发布
阅读量5.9k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gzh0222/article/details/8455331
本文介绍了Linux系统的audit子系统,详细解释了如何配置和使用该子系统来监控关键文件及目录的安全变化,通过具体实例展示了如何设置监控规则以及如何查看审计日志。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

audit子系统提供了一种纪录系统安全方面信息的方法,同时能为系统管理员在用户违反系统安全法则或存在违反的潜在可能时,提供及时的警告信息,这些audit子系统所搜集的信息包括:可被审计的事件名称,事件状态(成功或失败),别的安全相关的信息。

可被审计的事件,通常,这些事件都是定义在系统调用级别的。

脚本/APPS
-
命令
-
函数(库)
-
System Call (系统调用)
-
底层Kernel

Cat /etc/fstab
命令执行

ltrace cat /etc/fstab

追踪库


Strace cat /etc/fstab
追踪系统调用

[/usr/share/man/man3]
#ls -l | wc -l
6489

[/usr/share/man/man2]
#ls -l | wc –l
381

明确自己要审计什么?
[root@node1 ~]# service auditd status
auditd (pid  2815) is running...

[root@node1 ~]# rpm -qf /etc/init.d/auditd 

audit-1.7.17-3.el5


[root@node1 ~]# auditctl -s
AUDIT_STATUS: enabled=1 flag=1 pid=2815 rate_limit=0 backlog_limit=320 lost=0 backlog=0
enabled=1开启审计


[root@node1 ~]# man auditctl 中的 EXAMPLE


auditctl -w /etc/shadow -p wa
-w 监控
-p 权限 

    r=read, w=write,  x=execute,  a=attribute(所属者所属组)


auditctl -w /etc/ -p wa   (a是属性)

[root@node1 ~]# auditctl -w /tmp/ -p rwxa
[root@node1 ~]# auditctl -l
LIST_RULES: exit,always dir=/tmp (0x4) perm=rwxa


auditctl -l  查看所有
auditctl -D 删除清空


[root@node1 ~]# ls /tmp/
[root@node1 ~]# cat /var/log/audit/audit.log 
。。。 。。。
type=SYSCALL msg=audit(1330126454.024:552): arch=40000003 syscall=5 success=yes exit=3 a0=9560868 a1=18800 a2=805e560 a3=9560850 items=1 ppid=11329 pid=13571 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts3 ses=66 comm="ls" exe="/bin/ls" key=(null)
type=CWD msg=audit(1330126454.024:552):  cwd="/root"
type=PATH msg=audit(1330126454.024:552): item=0 name="/tmp/" inode=2031617 dev=fd:00 mode=041777 ouid=0 ogid=0 rdev=00:00

 审计搜索
[root@node1 ~]# ausearch -f /tmp/
----
time->Sat Feb 25 07:34:14 2012
type=PATH msg=audit(1330126454.024:552): item=0 name="/tmp/" inode=2031617 dev=fd:00 mode=041777 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1330126454.024:552):  cwd="/root"
type=SYSCALL msg=audit(1330126454.024:552): arch=40000003 syscall=5 success=yes exit=3 a0=9560868 a1=18800 a2=805e560 a3=9560850 items=1 ppid=11329 pid=13571 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts3 ses=66 comm="ls" exe="/bin/ls" key=(null)

[root@node1 ~]# auditctl -w /etc/shadow -p rwxa -k "SHADOW"(-k 关键字)


使用普通用户修改密码
[user1@node1 ~]$ passwd
Changing password for user user1.
Changing password for user1
(current) UNIX password: 
New UNIX password: 
Retype new UNIX password: 
passwd: all authentication tokens updated successfully.

[root@node1 ~]# ausearch -k "SHADOW"

time->Sat Feb 25 07:47:43 2012
type=PATH msg=audit(1330127263.467:575): item=4 name="/etc/shadow" inode=4949304 dev=fd:00 mode=0100400 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1330127263.467:575): item=3 name="/etc/shadow" inode=4950505 dev=fd:00 mode=0100400 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1330127263.467:575): item=2 name="/etc/nshadow" inode=4949304 dev=fd:00 mode=0100400 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1330127263.467:575): item=1 name="/etc/" inode=4947969 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1330127263.467:575): item=0 name="/etc/" inode=4947969 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1330127263.467:575):  cwd="/home/user1"
type=SYSCALL msg=audit(1330127263.467:575): arch=40000003 syscall=38 success=yes exit=0 a0=d9d317 a1=d9d1d6 a2=d9f5e4 a3=0 items=5 ppid=13633 pid=13661 auid=0 uid=505 gid=505 euid=0 suid=0 fsuid=0 egid=505 sgid=505 fsgid=505 tty=pts7 ses=77 comm="passwd" exe="/usr/bin/passwd" key="SHADOW"

auid 初始登录uid

[root@node1 ~]# auditctl -l
LIST_RULES: exit,always dir=/tmp (0x4) perm=rwxa
LIST_RULES: exit,always watch=/etc/shadow perm=rwxa key=SHADOW

[root@node1 ~]# auditctl -w /tmp -p rwxa
[root@node1 ~]# auditctl -a exit,always -F dir=/tmp/ -F perm=rwxa
[root@node1 ~]# auditctl -l
LIST_RULES: exit,always dir=/tmp (0x4) perm=rwxa
LIST_RULES: exit,always dir=/tmp/ (0x5) perm=rwxa

-a exit,always
-F 规则字段
always 总是记录审计
none 不记
exit:行为完成后记录审计(一般常用)
entry:行为刚开始时记录审计(某些规则要求)


auditctl -a exit,always -F auid!=0 -F uid=0 -S all


-F 字段
-S syscall all 所有系统调用(行为)

audictctl -a exit,always -F auid!=0 -F uid=0 -S all -k "ALL"
ausearch -k "ALL"

工作中常对 /tmp /etc 审计,攻击者常用/tmp提权

aureport --help
aureport -h
aureport -l (login)
ORACLE AUDIT 审计
2301_76957510的博客
03-21 2481
审计Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计跟踪结果存放到OS文件(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/)或数据库(存储在system表空间中的SYS.AUD$表中,可通过视图dba_audit_trail查看)中。在Oracle11g之前,oracle数据库自带的审计功能是关闭的,考虑到性能和审计管理的复杂性,用户一般不打开审计功能.如果有审计要求,DBA会采用trigger来实现对DDL审计的方法来折中.例如 ...
audit审计超详细介绍,常见审计规则示例,与syslog、secure对比
ayychiguoguo的博客
07-25 4818
Audit审计)在Linux系统中,特别是CentOS中,是一个用于监控和记录系统上各种操作的技术手段。Audit的主要功能是为系统管理员提供一个跟踪系统上与安全相关信息的方法。根据预配置的规则,Audit会生成日志条目,以尽可能多地记录系统上所发生的事件的相关信息。① Audit主要由以下几个部分组成:auditd:Audit守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。
audit-libs-python-2.2-2.el6.i686.rpm
10-20
audit-libs-python-2.2-2.el6.i686.rpm是centos工具类。
auditctl 审计功能简单设置
weixin_33726313的博客
07-23 1072
敏感目录 /etc/ /tmp/auditctl -w /etc/shadow -p rwxa -k "SHADOW" 创建记录auditctl -l 查看记录条目auditctl -D 清除记录ausearch -k "SHADOW" 查看记录以下规则相同auditctl -w /etc/ -p waauditctl -a exit,always -F dir=/etc/ ...
rwx对于文件目录的限制
wuguinianjing的博客
03-31 165
代表字符 权限 对文件的含义 对目录的含义 r 读 可以查看文件 可以列出目录中的内容 ls w 写 可以修改文件 可以在目录中创建、删除文件 touch、mkdir、rmdir、rm x 执行 可以执行文件 可以进入目录 cd 可见目录的权限是特殊的 ...
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 2万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
mysql8.0安装server-audit审计
07-26
mysql8.0安装server-audit审计
银河麒麟V10操作系统设置audit审计日志.docx
06-05
内容概要:本文档详细介绍了银河麒麟V10操作系统中audit审计日志的设置方法。首先检查并确保auditd服务正常开启,若发现/proc/cmdline中audit=0,则需要修改/etc/default/grub文件并将audit设为1,然后更新grub配置...
linux审计进程规则,linux audit审计(5)--audit规则配置
weixin_39552538的博客
04-29 1565
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
Linux安全审计功能的实现—audit命令
yunweimao的博客
02-10 9114
1、简介我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
linux 没有那个文件目录_Linux审计工具auditd部署和使用
weixin_39730263的博客
11-30 530
auditd 审计工具 ,常用来对文件修改进行监听,如 监听那个进程修改了 .ssh/authorized_keys这个工具在大多数Linux操作系统中是默认安装的。CentOS 默认安装。Ubuntu 安装:apt-get install auditd。安装完毕后将自动安装以下auditd和相关的工具:auditctl : 即时控制审计守护进程的行为的工具,比如添加规则等等。/etc/audit...
【安全】linux audit审计使用入门
追寻梦想的青春
10-11 5815
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为
审计规则配置
weixin_44683938的博客
01-24 2671
groupadd shenjiguanli useradd -g shenjiguanli audit audit 配置文件简介 audit 安装后会生成 2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。首次安装 audit 后, 审计规则文件是空的。 注意: #查看审计规则 #auditctl -l
ubantu18开启audit审计日志
qq_29864131的博客
05-24 4937
1.检查系统是否安装audit服务 service auditd status 2.安装命令 sudo apt-get install auditd 审计规则 auditctl -w /etc/passwd -p rwxa(注意:用 auditd 添加审计规则是临时的,立即生效,但是系统重启失效。) -w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd -p : 指定触发审计文件/目录的访问权限 -k 给当前这条监控规则起个名字,方便搜索过滤 rwxa : 指定的触
Linux安全审计功能的实现——audit详解
u012759006的博客
04-29 1万+
1、安装: centos默认安装,Ubuntu:sudo apt-get install auditd 2、开启auditd服务: service auditd start 3、查看当前auditd服务状态: service auditd status auditctl -s 4、重启auditd服务: service auditd restart 或 service audi...
linux auditd审计的简单使用和理解
qq_26614295的博客
08-29 1万+
文件1:打开文件 - open函数实操
davidksatan的博客
05-26 3000
Python学习-文件打开:open函数实操
4步教你学会使用Linux-Audit工具
华为云官方博客
08-18 4023
简单来讲audit是Linux上的审计工具,可以用来记录和监控对文件目录、系统资源的更改;Audit无法直接增强系统的安全性,但是它可以用于发现违反系统安全政策的行为
开启MySQL的audit 审计功能方法
最新发布
06-28
<think>我们正在讨论如何开启MySQL的审计功能。根据引用内容,MySQL的审计功能在不同版本和系统上有不同的配置方式。用户询问的是如何开启audit审计功能,我们需要提供具体的配置方法。首先,注意MySQL企业版和社区版的区别:-企业版自带审计插件(audit_log),可以直接在配置文件中开启。 -社区版没有内置审计插件,需要额外安装插件,例如使用MariaDB的server_audit插件。根据引用[1]:企业版开启审计功能的方法是在配置文件(my.cnf)中添加相关配置。引用[2][3][4][5]则提到了社区版通过安装第三方插件(如server_audit)来实现。用户没有明确说明是哪个版本,因此我们需要提供两种情况的配置方法。步骤:1.确认MySQL版本和系统环境(Linux或Windows)。2.根据版本选择对应的开启方式。情况一:MySQL企业版(以引用[1]为例)-编辑配置文件(my.cnf或my.ini)-添加配置项:[mysqld]audit_log= ONaudit_log_format =JSON#日志格式,也可以是OLD(XML)或NEW(默认格式)audit_log_policy= ALL#记录所有事件,也可以设置为LOGINS(仅登录)、QUERIES(仅查询)、NONE(无)audit_log_file =/var/log/mysql/audit.log#日志文件路径(Linux)或Windows路径注意:在Windows系统中,路径使用反斜杠,例如:audit_log_file =C:\\mysql\\audit.log情况二:MySQL社区版(需要安装插件)-首先需要获取审计插件文件(server_audit.so或server_audit.dll)。引用[4]提到可以从MariaDB获取(Linux下是.so,Windows下是.dll)。-将插件文件放入MySQL的插件目录(可通过`show variableslike 'plugin_dir';`查看)。-在配置文件中添加配置(或通过SQL命令加载插件并设置参数)。社区版配置步骤(以Linux为例,引用[4][5]):1.获取server_audit.so文件(例如从MariaDB的安装目录中复制)。2.将文件复制到MySQL的插件目录(如/usr/lib/mysql/plugin/)。3.在MySQL配置文件(my.cnf)中添加:[mysqld]plugin-load=server_audit=server_audit.soserver_audit_logging=ONserver_audit_events=CONNECT,QUERY,TABLE#需要记录的事件类型server_audit_file_path=/var/log/mysql/server_audit.logserver_audit_file_rotate_size=30000000#日志文件大小,单位字节server_audit_file_rotations=200#保留的日志文件数量4.重启MySQL服务。或者通过SQL命令动态加载(无需重启):INSTALLPLUGIN server_audit SONAME 'server_audit.so';SETGLOBALserver_audit_logging=ON;...(其他参数也可以通过SET命令设置)注意:Windows系统使用.dll文件,配置方法类似,只需将文件名改为server_audit.dll。另外,引用[5]提到了一些动态设置的参数:SET GLOBAL server_audit_events='query,table';SETGLOBALserver_audit_file_path= 'server_audit.log';SETGLOBALserver_audit_file_rotate_size=300*1024*1024;#300MBSET GLOBAL server_audit_file_rotate_now=ON;#立即轮转日志SETGLOBALserver_audit_logging=1;#开启日志记录但是,通过SQL命令设置的参数在重启后会失效,建议将配置写入配置文件。总结:-企业版:直接配置参数即可。-社区版:需要安装插件,然后配置参数。注意:无论哪种方式,都要确保日志文件的路径MySQL有权限写入。根据用户的问题,我们给出两种情况的配置方法,并提醒用户根据实际版本选择。由于用户没有提供具体的版本和系统,我们提供通用方法。最后,生成相关问题。</think>### 开启 MySQL Audit 审计功能的配置方法 #### 一、MySQL 企业版配置方法(推荐) MySQL 企业版内置审计插件,通过修改配置文件开启: 1. 编辑 MySQL 配置文件: ```bash sudo vim /etc/my.cnf # Linux 系统 # 或修改 my.ini (Windows) ``` 2. 在 `[mysqld]` 段添加配置: ```ini [mysqld] audit_log = ON audit_log_format = JSON # 日志格式:JSON/OLD/NEW audit_log_policy = ALL # 记录策略:ALL/LOGINS/QUERIES/NONE audit_log_file = /var/log/mysql/audit.log # 日志路径 ``` 3. 创建日志目录并授权: ```bash sudo mkdir -p /var/log/mysql sudo chown mysql:mysql /var/log/mysql ``` 4. 重启 MySQL 服务: ```bash sudo systemctl restart mysqld # Linux # Windows: 服务管理器重启 MySQL ``` 5. 验证状态: ```sql SHOW VARIABLES LIKE 'audit_log%'; ``` ![企业版审计状态示例](https://example.com/mysql-audit-status.png) *图:审计功能开启后的状态输出[^1]* #### 二、MySQL 社区版配置方法(需插件) 社区版需安装第三方审计插件(如 MariaDB 的 `server_audit`): 1. **获取插件文件**: - Linux: `server_audit.so`(从 MariaDB 安装包提取) - Windows: `server_audit.dll`([官方下载](https://mariadb.com/kb/en/mariadb-audit-plugin/)) 2. **安装插件**: ```sql INSTALL PLUGIN server_audit SONAME 'server_audit.so'; # Linux -- Windows: INSTALL PLUGIN server_audit SONAME 'server_audit.dll'; ``` 3. **动态配置参数**: ```sql SET GLOBAL server_audit_logging = ON; SET GLOBAL server_audit_events = 'CONNECT,QUERY,TABLE'; # 监控事件 SET GLOBAL server_audit_file_path = '/var/log/mysql/server_audit.log'; ``` 4. **持久化配置(添加到 my.cnf)**: ```ini [mysqld] plugin-load = server_audit=server_audit.so server_audit_logging = ON server_audit_file_rotate_size = 30000000 # 单个日志大小(30MB) ``` #### 三、关键参数说明 | 参数 | 企业版 | 社区版 | 作用 | |------|--------|--------|------| | 日志格式 | `audit_log_format` | `server_audit_output_type` | JSON/CSV/TEXT | | 事件类型 | `audit_log_policy` | `server_audit_events` | 控制记录的操作类型 | | 日志路径 | `audit_log_file` | `server_audit_file_path` | 日志存储位置 | | 日志轮转 | 系统日志工具 | `server_audit_file_rotate_now` | 触发日志切割 | > **注意**: > 1. Windows 路径需转义:`audit_log_file = C:\\mysql\\audit.log` > 2. 社区版需定期执行 `SET GLOBAL server_audit_file_rotate_now=ON;` 手动轮转日志 > 3. 审计日志可能影响 5-15% 性能,建议仅记录关键操作[^5] #### 四、验证审计效果 ```sql -- 执行测试操作 CREATE TABLE test.t(id INT); SELECT * FROM test.t; -- 查看审计日志(Linux) sudo tail -f /var/log/mysql/audit.log ``` 输出示例(JSON 格式): ```json { "timestamp": "2023-08-20T10:23:45 UTC", "user": "root@localhost", "ip": "192.168.1.10", "action": "QUERY", "query": "SELECT * FROM test.t" } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值