linux审计功能及规则 (audit.rule)

已于 2023-11-28 15:38:36 修改
阅读量4.2k 收藏 9
点赞数 3
文章标签: linux python 运维
于 2023-11-28 15:37:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hdy14/article/details/134668023
版权
本文详细解释了Linux审计功能(auditlog),介绍了如何在audit.rules中设置监控规则,监测系统调用、权限变化、文件操作等,并提供了实例和常用命令,如配置、查看和管理审计规则,以及查询和分析审计日志。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

linux审计功能(audit log)是什么

audit是Linux自带的一套审计功能,可以监控我们日常的一些操作,然后将这些操作记录在audit.log中,方便我们查看日志。

审计规则是什么

在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。

规则详解
  • -a :表示要添加规则
  • -F 表示要添加一个过滤条件
  • -S execve:这是要监视的系统调用。execve 是一个系统调用,用于执行新进程。通过监视 execve 系统调用,可以捕获新进程的启动。
  • -w path :监视的文件路径
  • -p rwxa: 权限 监视读取(r),写入(w),执行(x),属性更改(a)
  • -k value:为事件添加一个标记,方便在审计日志中查找
一些常见规则示例

setuid 和 setgid 规则:这些规则用于监视用户在执行程序时提升其权限到超级用户 (root) 或组权限时的活动。它们捕获了在执行execve系统调用时 euid 和 egid 的变化,以及用户尝试提升权限的情况。
文件和目录权限修改规则:这一系列规则用于监视文件和目录的权限修改、删除和重命名等活动,以及相关的审计事件。这包括 fchown、renameat、rmdir、unlink、unlinkat、lremovexattr、ftruncate、chown、fchmodat、truncate 等操作。

-a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=0 -k setuid
-a always,exit -F arch=b64 -S execve -C gid!=egid -F egid=0 -k setgid

模块操作规则:这些规则用于监视内核模块相关的活动,包括 finit_module、create_module、init_module 等。它们捕获了模块加载和卸载的情况。

a always,exit -F arch=b64 -S create_module -k module-change
-a always,exit -F arch=b32 -S create_module -k module-change

扩展属性 (Extended Attributes) 操作规则:这些规则监视文件和目录的扩展属性的操作,包括 lsetxattr、removexattr、setxattr、fsetxattr 等。扩展属性可用于存储额外的文件和目录元数据。

-a always,exit -F arch=b64 -S removexattr -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S removexattr -F auid>=1000 -F auid!=4294967295 -k perm_mod

rename 规则:监视文件重命名操作,包括 rename 系统调用。

-a always,exit -F arch=b64 -S rename -F auid>=1000 -F auid!=4294967295 -k delete
-a always,exit -F arch=b32 -S rename -F auid>=1000 -F auid!=4294967295 -k delete

lchown 规则:监视 lchown 系统调用,用于修改文件的用户和组。

-a always,exit -F arch=b64 -S lchown -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S lchown -F auid>=1000 -F auid!=4294967295 -k perm_mod

fchmod 和 chmod 规则:监视 fchmod 和 chmod 系统调用,用于修改文件的权限。

-a always,exit -F arch=b64 -S fchmod -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S fchmod -F auid>=1000 -F auid!=4294967295 -k perm_mod

-a always,exit -F arch=b64 -S chmod -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S chmod -F auid>=1000 -F auid!=4294967295 -k perm_mod

特权操作规则:这些规则监视一些具有特权的系统命令的执行,如 mount、passwd、
sudo、crontab、setsebool、su、unix_chkpwd 等。它们捕获了执行这些命令的情况。

-a always,exit -F arch=b64 -S fchmod -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S fchmod -F auid>=1000 -F auid!=4294967295 -k perm_mod

审计日志文件的监视规则:这些规则监视审计日志文件以及与用户账户和组有关的文件(如 /etc/passwd、/etc/group、/etc/shadow、/etc/gshadow、/etc/security/opasswd 等)的访问和修改。这有助于跟踪对身份和访问控制相关文件的更改。

-w /etc/gshadow -p wa -k identity  
-w /etc/group -p wa -k identity
-w /etc/shadow -p wa -k identity

kmod 规则:监视 kmod 命令的使用,kmod 用于加载和卸载内核模块。

-w /usr/bin/kmod -p x -F auid!=4294967295 -k module-change

实例

  1. 配置audit审计系统
yum -y install audit
systemctl start auditd
cat /etc/audit/auditd.conf |grep log_file          #查看配置文件,确定日志位置
log_file = /var/log/audit/audit.log               #日志文件路径
  1. 创建规则
    可以参照上边的规则实例去创建规则
  2. 对规则的操作
 auditctl  -s                     #查询状态
 auditctl  -l                     #查看规则
 auditctl  -D                    #删除所有规则

备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。

  1. 查看日志文件
ausearch -hn #按主机名查找
ausearch -k #按特定的key值查找
ausearch -w #按在audit rule设定的字符串查找
ausearch -f #按文件名查找 例如:ausearch -f /etc/passwd
aureport -ts 9:00-te 18:00-f    #生成9:0018:00这段时间内的报表

在记录的时候有什么问题,欢迎大家在评论中提出~

Linux安全基线-audit审计规则配置7小项(CentOS8)
bigwood99的博客
09-30 1669
监视与文件和文件属性的删除或重命名关联的系统调用的使用。此配置语句设置对unlink(删除文件),unlinkat(删除文件属性),rename(重命名文件)和renameat(重命名文件属性)系统调用的监视,并使用标识符“delete”对其进行标记。以下参数监视sethostname(设置系统主机名)或setdomainname(设置系统域名)系统调用,并在系统调用出口上写入审核事件。并且将审核记录写入文件/var/log/audit.log,并用标识符“ time-change”标记记录。
Linux安全基线-审计配置9小项
bigwood99的博客
09-30 1805
监视sudo日志文件。如果系统已正确配置为禁用该su命令,并强制所有管理员必须先登录然后sudo才能执行特权命令,则所有管理员命令都将登录到/var/log/sudo.log。该文件/var/log/lastlog保留用户最后一次成功登录的记录。该文件/etc/sudoers被写入或其属性已更改为。该文件/var/run/utmp跟踪所有当前登录的用户。/var/log/wtmp文件跟踪登录,注销,关闭和重新启动事件。将以下行添加到/etc/audit/rules.d/audit.rules文件末尾。
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 2万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
Linux系统之auditctl命令详解
最新发布
weixin_56303229的博客
03-05 620
auditctl 是 Linux 审计系统(Audit System)的一个命令行工具,用于控制系统审计的行为。它允许用户配置内核审计模块,控制哪些事件应该被记录、如何记录以及存储在什么地方等。通过 auditctl,可以定义详细的审计规则来监控文件访问、系统调用、网络活动等多种类型的系统行为,这对于安全审计和合规性检查非常有用。
Linux 操作系统等保测评二级合规基线整改项 - 安全审计
qq_57930963的博客
05-31 2336
根据 Linux 操作系统的等保测评二级合规基线要求,确保系统具备安全审计功能,对系统中的重要事件和操作进行记录和审计,以便后续的安全分析和追溯。通过以上整改措施,可以满足 Linux 操作系统等保测评二级合规基线关于安全审计的要求。启用审计功能、配置审计策略、定期审计日志、保护审计日志以及建立审计告警和响应机制,将有助于提高系统的安全性和合规性。
linux 审计功能
Serene MA的博客
06-12 2568
方法-一 vim /var/log/audit/audit.log comm 参数说明: time :审计时间。 •name :审计对象 •cwd :当前路径 •syscall :相关的系统调用 •auid :审计用户ID •uid和 gid :访问文件的用户ID和用户组ID •comm :用户访问文件的命令 •exe :上面命令的可执行文件路径 方法二 自带审计功能 vim ~/.bas...
audit.rules
weixin_33853827的博客
09-29 180
为防止audit在不同系统上的不同,还是介绍下环境 centos 6.3 x64 直奔主题,审计系统是什么、重要性略!   auditlinux内核的特性,可以通过内核参数audit=1来启用。   /etc/audit/audit.rulesaudit规则文件,本文主要讲述如何利用audit来监视系统重要资源。   一、监控文件系统行为(依靠文件、目录的权限属性来识别) 规...
【安全】linux audit审计使用入门
追寻梦想的青春
10-11 5539
rules审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
linux审计audit可以定义的规则,linux audit审计(5)--audit规则配置
weixin_35900383的博客
05-15 1050
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
linux审计功能audit
weixin_71792169的博客
09-26 4223
PART ONE 为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs) syslog会记录系统状态(硬件警告、
linux审计进程规则,linux audit审计(5)--audit规则配置
weixin_39552538的博客
04-29 1521
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
Linux audit 安全审计干货
qq_40795955的博客
05-13 2383
目录简介一丶审计规则Auditctl 和 audit.rules)二丶配置文件(auditd.conf)三丶报告工具(aureport)四丶事件查找(ausearch) 简介 简单来说,修改两个配置文件(/etc/audit/audit.rules 和/etc/audit/auditd.conf ),然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤:内核选项勾选和安装软件包(上篇文章已介绍)。添加审计规则,修改配置文件,然后启用 audit 守护进程进行日志记
linux audit审计服务audit.rules策略参数
a063225的博客
11-03 4675
auditlinux内核的特性,可以通过内核参数audit=1来启用。 /etc/audit/audit.rulesaudit规则文件,本文主要讲述如何利用audit来监视系统重要资源。 一、监控文件系统行为(依靠文件、目录的权限属性来识别) 规则格式:-w 路径 -p 权限 -k 关键字 其中权限动作分为四种 r 读取文件 w 写入文件 x 执行文件 a 修改文件属性 示例,监控/etc/passwd文件的修改行为(写,权限修改) -w /etc/passwd -p wa 将上述内容加入到audi
Linux审计功能
baidu_16824131的专栏
08-08 406
目录 〔1〕简介 〔2〕审计记录日志内容 〔3〕应用 〔4〕审计软件 〔1〕简介 审计基于事先配置的规则生成日志,记录可能发生在系统上的事件 审计不会为系统提供额外的安全保护,但会发现并记录违反安全策略的人及其对应的行为 〔2〕审计记录日志内容 日期,事件,事件结果,用户 所有认证机制的使用,如ssh 对关键数据文件的修改行为等 〔3〕应用 监控系统调用记录 用户运行...
centos配置审计规则 /etc/audit/rules.d/audit.rules 示例
03-25
以下是一个示例配置审计规则的 /etc/audit/rules.d/audit.rules 文件,你可以在此基础上进行修改: # This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the initscripts. # The rules are simply the parameters that would be passed # to auditctl. # First rule - delete all -D # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 8192 # Set failure mode to syslog -f 1 # Audit mount and umount syscall events -a exit,always -F arch=b64 -S mount -F auid>=1000 -F auid!=unset -k mount -a exit,always -F arch=b32 -S mount -F auid>=1000 -F auid!=unset -k mount -a exit,always -F arch=b64 -S umount2 -F auid>=1000 -F auid!=unset -k umount # Audit LXC events -w /var/lib/lxc/ -p rwa -k lxc # Audit cron jobs -w /etc/cron.hourly/ -p rwa -k cron.hourly -w /etc/cron.daily/ -p rwa -k cron.daily -w /etc/cron.weekly/ -p rwa -k cron.weekly -w /etc/cron.monthly/ -p rwa -k cron.monthly # Audit user and group modifications -w /etc/group -p wa -k usergroup -w /etc/passwd -p wa -k usergroup -w /etc/gshadow -p wa -k usergroup -w /etc/shadow -p wa -k usergroup # Audit package and yum operations -w /etc/yum/ -p rwa -k yum -w /usr/bin/rpm -a exit,always -F arch=b64 -S open -F perm=x -F auid>=1000 -F auid!=unset -k rpm # Audit system calls -a exit,always -F arch=b32 -S uname -k systemcalls -a exit,always -F arch=b64 -S uname -k systemcalls -a exit,always -F arch=b32 -S sethostname -k systemcalls -a exit,always -F arch=b64 -S sethostname -k systemcalls -a exit,always -F arch=b32 -S setdomainname -k systemcalls -a exit,always -F arch=b64 -S setdomainname -k systemcalls # Audit system logins -w /var/log/lastlog -p wa -k logins -w /var/log/wtmp -p wa -k logins # Audit selinux changes -w /etc/selinux/ -p rwa -k selinux # Audit firewall changes -w /etc/firewalld/ -p rwa -k firewalld # Audit sudo operations -w /var/log/sudo.log -p wa -k sudo # Audit SSH sessions -w /var/log/secure -p wa -k ssh # Audit network socket operations -a exit,always -F arch=b32 -S socketcall -k netsockets -a exit,always -F arch=b64 -S socketcall -k netsockets -a exit,always -F arch=b32 -S sendto -k netsockets -a exit,always -F arch=b64 -S sendto -k netsockets -a exit,always -F arch=b32 -S recvfrom -k netsockets -a exit,always -F arch=b64 -S recvfrom -k netsockets
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

草莓味少女vv

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值