在RHEL6上针对rm命令做审计

最新推荐文章于 2025-03-16 22:11:09 发布
最新推荐文章于 2025-03-16 22:11:09 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: Linux rm audit 审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/msdnchina/article/details/52461559
本文介绍了如何在RHEL6系统中配置审计规则以记录rm命令的使用情况,并通过实例展示了从创建审计策略到查看审计结果的全过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第一:建立针对rm的审计策略:

[root@rhel63single ~]# cat /etc/audit/audit.rules
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.


# First rule - delete all
-D


# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320


# Feel free to add below this line. See auditctl man page
-a exit,always -F arch=b64 -S execve -F path=/bin/rm -k rm                ---------->>>此行是新加的.
[root@rhel63single ~]# auditctl -l
No rules
[root@rhel63single ~]# service auditd restart
Stopping auditd:                                           [  OK  ]
Starting auditd:                                           [  OK  ]
[root@rhel63single ~]# auditctl -l
LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/bin/rm key=rm syscall=execve       ---------->>>>审计规则生效.

第二:执行rm操作:

[root@rhel63single ~]# touch wokao
[root@rhel63single ~]# rm -rf wokao
[root@rhel63single ~]# date
Mon Aug 15 00:46:21 CST 2016
[root@rhel63single ~]# pwd
/root
[root@rhel63single ~]#

第三:查看审计的结果:
[root@rhel63single ~]# ausearch -k rm
----
time->Mon Aug 15 00:43:41 2016
type=CONFIG_CHANGE msg=audit(1471193021.597:336): auid=0 ses=23 subj=unconfined_u:system_r:auditctl_t:s0 op="add rule" key="rm" list=4 res=1
----
time->Mon Aug 15 00:45:32 2016  ------>>>执行rm操作的时间
type=PATH msg=audit(1471193132.902:337): item=1 name=(null) inode=401817 dev=08:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0
type=PATH msg=audit(1471193132.902:337): item=0 name="/bin/rm" inode=6106 dev=08:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0
type=CWD msg=audit(1471193132.902:337):  cwd="/root"  ---->>>当前所在目录
type=EXECVE msg=audit(1471193132.902:337): argc=4 a0="rm" a1="-i" a2="-rf" a3="wokao"----->>>wokao是文件名
type=SYSCALL msg=audit(1471193132.902:337): arch=c000003e syscall=59 success=yes exit=0 a0=1b175a0 a1=1b15d80 a2=1af3e00 a3=28 items=2 ppid=2926 pid=7288 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="rm" exe="/bin/rm" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="rm"
[root@rhel63single ~]#

参考文档:
Oracle Linux 5 - Audit rules to log reboot command executions (文档 ID 2094229.1)
参考文档:
如何编写清晰的Ansible剧本(复杂剧本如何构建)
山河已无恙
05-14 2500
写在前面 嗯,学习Ansible高级特性,整理这部分笔记 博文内容涉及 复杂Ansible剧本的编写规范 一个具体的编写Demo 食用方式: 理论有些枯燥,不感兴趣小伙伴可以直接跳过去看Demo 需要有ansible基础,了解ansible角色的使用 傍晚时分,你坐在屋檐下,看着天慢慢地黑下去,心里寂寞而凄凉,感到自己的生命被剥夺了。当时我是个年轻人,但我害怕这样生活下去,衰老下去。在我看来,这是比死亡更可怕的事。--------王小波 如何编写清晰的Ansible脚本 对于运维小伙伴
auditd fails to add rules & Error sending add rule data request (Invalid argument)
qq_40795955的博客
07-29 1242
auditd服务正常运行 root@hgu:~# service auditd status ?.auditd.service - Security Auditing Service Loaded: loaded (/lib/systemd/system/auditd.service; enabled; vendor preset: e nabled) Active: active (running) since Thu 2016-02-11 16:28:01 UTC; 28s ag o Process:
security-audit, 一套基于 Red Hat Linux 6.x 系统的自动安全测试.zip
10-10
security-audit, 一套基于 Red Hat Linux 6.x 系统的自动安全测试 基于的Linux系统安全审计自动化 Introduction##这是对基于EL的Linux系统进行安全审计的指南。 它采用红帽。CentOS和 Oracle Linux系统的64bit 版本的6.5. 这种自动安全审计使用公共可用的 D
Linux系统上针对rm命令审计
rgb_rgb的博客
09-14 1664
Linux系统上针对rm命令审计 [root@test ~]# cat /etc/audit/audit.rules # This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the initscripts. # The rules are simp
redhat linux 6中setroubleshoot 与 audit 关系
weixin_33875839的博客
08-28 328
最近在看Linux selinux 对于setroubleshoot与audit不是十分理解。找到如下官方解释 https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Security-Enhanced_Linux/index.html#sect-Se...
【RedHat Linux 操作系统安装配置规范】
柯柯柯柯柯浩然
01-02 2173
Linux,基础配置模板
Linux 中的审计与系统调用(audit、syscall)
w1010b的博客
03-16 1484
Linux AuditLinux 内核中的一个子系统,用于记录系统调用和文件访问等事件。通过 Audit,系统管理员可以监控系统中的安全相关事件,如文件访问、用户登录、权限更改等。Audit 提供了强大的日志记录功能,帮助管理员进行安全审计和故障排查。定期分析 Audit 日志可以帮助你及时发现潜在的安全问题,确保系统的安全性。
Linux命令大全集:Ubuntu、CentOS与Kali Linux
6. 软件包管理命令:在Ubuntu中为`apt`或`apt-get`,在CentOS中为`yum`,以及在较新的RHEL和CentOS版本中为`dnf`。这些命令用于安装、更新和管理软件包。 7. 进程管理命令:如`ps`(显示进程状态)、`kill`(终止...
国产化改造之容器迁移指导
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-28 2142
另外再回顾下底层这些东西,如上图所示,docker镜像层位于内核层之上,其中内核层中的AUFS,LXC,Bootfs(boot file system)一起为上层的镜像提供kernel内核支持;即信息技术应用创新的简称,涵盖了国产软件、国产芯片以及云计算等各个方向,也可以理解为常说的“ZZKK(自主可控)”, ZZKK是指对国内企事业单位应用系统中关键软硬件部件的安全性、可靠性、性能稳定性、安全接入等方面进行评估和测试的过程。基于此,docker镜像层+容器层,我们是可以提交成新镜像导出的;
【PyTorch模型打包实战】:在Windows、Linux和macOS上打包的高级技巧
[【PyTorch模型打包实战】:在Windows、Linux和macOS上打包的高级技巧](https://opengraph.githubassets.com/c84a1ffeeeb72cba6bd6fae6fdbeb8af5e777a166f4dc14487aa7adaa73ed879/hyelimhong/dockerfile-example) ...
$ sudo systemctl stop webapillj.service || true We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility. sudo: no tty present and no askpass program specified $ sudo rm -rf /var/www/webapillj/* We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility. sudo: no tty present and no askpass program specified Cleaning up project directory and file based variables
最新发布
04-01
这个错误通常发生在尝试在非交互式环境(如脚本或CI/CD管道)中使用sudo,而sudoers配置中没有允许用户无密码执行特定命令。此外,用户可能没有安装askpass程序,无法在非终端环境下提供密码。 用户的目标可能是...
部分等保测评修改项
LeeZbug的博客
06-27 2153
部分等保测评修改项,audit审计,密码复杂程度,
Linux使用audit审计用户执行命令
Blue summer的博客
12-19 1万+
注:本文基于CentOS 6.5编写
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 2万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
linux auditd审计的简单使用和理解
qq_26614295的博客
08-29 1万+
linux 进程创建 进程启动 监控
whatday的专栏
03-20 2465
0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。 本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。 0x01 常见方式 目前来看,常见的获取进程创建的信息的方式有以下四种: 1、S...
Rhel6服务器日志浅谈
weixin_33733810的博客
09-04 500
1、启用日志服务:[root@www ~]#/etc/init.d/rsyslog start (redhel 6)[root@www ~]#/etc/init.d/syslog start (redhel 5)2、日志通常存放路径[root@www ~]#ls /var/log/ --此目录下很多系统日志都存放在此/var/log/messages --非常重要的日志文件...
落实责任,开启linux审计功能
weixin_33896069的博客
07-07 740
  (1)配置审计守护进程。  (3)启动守护进程,它启用了内核中的LinuxAuditingSystem并开始进行日志记录。  本章将详细讨论各个部分。  RedHatEnterpriseLinux5内核中的LinuxAuditingSystem默认是关闭的。当启动审计守护进程时,启用这个内核特性。要在启动时不通过守护进程auditd来启用LinuxA...
linux审计功能
lishenglong666的专栏
12-16 4082
linux审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值