麒麟系统关闭auditd

原创 已于 2025-02-11 10:43:18 修改 · 1.4k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维

于 2023-12-14 18:44:11 首次发布

目录标题

  • 背景与概述
    • 审计工具介绍:Linux的auditd工具可将审计记录写入日志文件,包括系统调用和文件访问记录,管理员可通过检查这些日志来确定是否存在安全漏洞。
    • 系统架构:Linux用户空间审计系统主要由Linux内核和一系列应用程序组成,如图1所示的架构示意图。内核中有User、Task、Exit、Exclude等系统调用,右侧是auditd、audispd、auditctl、autrace、ausearch和aureport等应用程序。
  • 系统调用功能
    • User:负责记录用户空间中产生的事件,起到过滤消息的作用,在内核传递给审计后台进程之前进行查询。
    • Task:用于跟踪应用程序的子进程创建事件,当父进程通过fork和克隆创建子进程时进行记录。
    • Exit:在系统调用结束时判断是否记录该调用。
    • Exclude:用于删除不合格事件,对不想看到的消息进行过滤。
  • 相关问题与解决
    • 内存泄漏问题
      • 现象:通过不断执行ssh远程连接产生用户登录的audit日志,发现执行内存使用情况监视命令时,内存使用情况会不断增加。
      • 原因:对比audit - 3.0 - 5和audit - 3.0 - 5.se.06版本,发现se.06版本添加的补丁中存在申请内存后未及时释放的问题。
      • 解决方法:升级audit包版本至audit - 3.0 - 5.se.08.ky10版本,完成升级后重启audit服务,可通过systemctl status auditd查看服务状态。
  • 系统服务管理命令
    • 提供了systemctl disable auditd --now命令,用于禁用并停止auditd服务。

综上所述,这些信息详细介绍了Linux用户空间审计系统的架构、系统调用功能以及一个相关的内存泄漏问题及其解决方法,同时还提到了系统服务的管理命令。

systemctl disable auditd --now

https://zhuanlan.zhihu.com/p/646304712

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

银河麒麟桌面V10-SP1-2303操作系统V10加固手册
太极淘的博客
05-10 485
Defaults!通过之前的命令只可更改当前已存在的账户的密码有效期,为了保障以后新建立的账户也可遵循相应的密码有效期规则,需要修改相应的配置文件。default=ignore:若该模块执行出现除成功以外的其他情况(如失败等),则会忽略此模块的结果,继续执行后续的认证模块。success=3:当pam_unix.so模块验证成功时,会跳过接下来的 3 个模块,直接执行之后的认证模块。pam_unix.so:这是 PAM 的一个模块,用于进行传统的 Unix 风格的密码认证。
麒麟操作系统常见问题答疑
a123560mh的博客
01-27 4570
Docker runc容器逃逸漏洞(CVE-2021-30465) 补丁包:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/docker-runc-1.0.0.rc3-203.p02.ky10.aarch64.rpm。备注:先确保原先有没开启vnc进程,有的话先杀掉vnc进程,删掉/tmp/目录下.X11-unix、.X1-lock这两个文件,删掉/root/.vnc目录,然后再执行以下命令。
银河麒麟关闭审计audit
cddchina的专栏
11-27 1174
银河麒麟银河麒麟常见问题:银河麒麟关闭审计的解决方案:
银河麒麟高级服务器操作系统V10SP2(X86)audit服务组件升级、进程彻底关闭介绍
weixin_45754407的博客
05-06 3779
银河麒麟高级服务器操作系统V10SP2(X86)audit服务组件升级、进程彻底关闭介绍
linux停止auditd.service审计服务
Borny鼎鼎的博客
11-23 2028
(3)停止auditd.service审计服务。(2)重启daemon。
停止linux机器的auditd.service
mmgithub123的博客
02-25 4169
在使用ansible 或者ssh的时候。因为机器上也装了一些特殊软件。导致经常ansible执行卡住,或者ssh卡住。或者机器莫名假死。 所以绝对停掉auditd.service服务看看。 但这个服务的service文件配置了,RefuseManualStop=yes,是不允许手动停止的。 所以需要这里RefuseManualStop=yes 改成no,然后操作。 ansible all-lin...
Linux 审计服务关停报错 Failed to stop auditd.service: Operation refused requested by dependency only
qq_42675635的博客
11-21 4029
audtid 配置问题
麒麟系统auditd占用内存,如何解决,它是干嘛用的
最新发布
03-25
好的,我需要帮助用户解决麒麟系统auditd占用内存的问题,并解释它的作用。首先,我得回忆一下auditd是什么,可能和Linux审计系统有关。麒麟系统是基于Linux的,所以auditd应该是Linux的审计守护进程,用于记录...
麒麟V10arm系统怎么永久关闭auditd服务
11-13
麒麟V10 ARM系统的auditd服务是一个审计守护进程,用于记录系统活动和安全事件。如果你想永久关闭它,一般需要编辑系统配置文件并禁止其启动。以下是可能的步骤: 1. **登录到终端**: - 使用root权限登录麒麟V10...
linux操作系统/麒麟kylin-等保测评三级指标
2302_76378481的博客
07-20 2734
linux操作系统查看uid对用户进行身份标识和鉴别,可以查看/etc/passwd文件,可以和访问控制a项一起查看。密码复杂度查看 :cat /etc/security/pwquality.conf,因为练习机,我就不加了,也可以直接使用命令查看: chage -l 用户名 (这个方法需要root权限)difok 代表不得与上次密码相同的字符个数;minlen 为密码最小长度;dcredit 为密码中最少包含数字的个数;ucredit 为密码中最少包含大写字母的个数;
kylin os auditd问题解决
weixin_44524862的博客
08-04 2752
服务器卡顿,top命令按m查看内存,发现auditd的服务占用10G内存(总共16G),搜索发现问题确实在这个审计服务。升级audit.x86_64到3.0-5.se.08.ky10以上。显示3.0-5.se.06.ky10,在Bug版本内。以及top查看,发现恢复正常。显示如下信息,在Bug版本内。
Office365 - 如何开启/关闭auditor log?
WarmSunshine7的博客
01-23 519
我们都知道,在Office365 compliance center中可以查看user的auditor log,那么如何check当前Office365的auditor log setting是否开启呢?又如何进行关闭或者开启设置呢?本文会对此做介绍。
linux服务——auditd
updba的专栏
03-24 1万+
审计(audit)是linux安全体系的重要组成部分,他是一种“被动”的防御体系。 在内核里有内核审计模块,核外有核外的审计后台进程auditd。 应用程序给内核发送审计消息,内核的审计模块再把消息转发给用户空间的后台进程auditd处理。 大概就是这么回事,我不是太深入,如果需要更多的内容,自己去查阅相关资料。如果没有好的资料,我推荐一本,《linux安全体系分析与编程》作者倪继利 。
银河麒麟V10 审计工具 auditd 内存泄漏问题
Yang的博客
08-05 1739
银河麒麟V10 审计工具 auditd 内存泄漏问题
银河麒麟V10 SP1 审计工具 auditd 引发的内存占用过高
热门推荐
敬天爱人小白
03-27 1万+
银河麒麟V10 SP1 审计工具 auditd 引发的内存占用过高
auditd和kswapd0导致kylin环境内存CPU占用过高
qq_44229840的博客
01-22 2234
通过网上查阅发现,当环境内存不足时,kswapd0会频繁进行换页操作,此操作会导致kswapd0占用过多cpu资源。探查发现环境内kswapd0几乎吃满了所有cpu资源,导致执行shell命令都变慢。此时通过top命令和shift+M查到了占用内存资源最多的auditd进程。auditd部分版本可能存在内存泄漏的问题,导致占用过多资源。重启后,环境内存和cpu恢复正常。尝试重启auditd进程。
kylin-v10审计日志缺失问题处理
神奇侠MAKER
11-13 1282
在终端输入stemctl satus auditd命令后回车,发现审计服务的状态不是active状态。银河麒麟系统上的审计服务默认是关闭的,需要手动开启。在审计服务异常或者关闭的状态下,则系统不会产生审计日志。在终端输入reboot命令后回车即可。重启系统后,审计服务即可开启成功。修改该文件里的“audit=0”参数改为“audit=1”后保存退出。如果状态正常,可以进入/var/log/audit目录查看审计日志。#查看服务状态是否 active。
audit.rules
weixin_33853827的博客
09-29 206
为防止audit在不同系统上的不同,还是介绍下环境 centos 6.3 x64 直奔主题,审计系统是什么、重要性略!   audit是linux内核的特性,可以通过内核参数audit=1来启用。   /etc/audit/audit.rules是audit的规则文件,本文主要讲述如何利用audit来监视系统重要资源。   一、监控文件系统行为(依靠文件、目录的权限属性来识别) 规...
帮我看下这些linux进程,有哪些可以关闭的??
wangcheng711@gmail.com
07-04 3147
帮我看下这些linux进程,有哪些可以关闭的??不胜感激UID        PID  PPID  C STIME TTY          TIME CMDroot         1     0  0 00:06 ?        00:00:00 init [3]                                   root         2     1  0 00:0
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值