【安全】linux audit审计使用入门

原创 于 2025-04-04 10:34:16 发布 · 1k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #linux #java #网络安全 #网络 #python #nginx

文章目录
  • *       * 1 audit简介

    • 2 auditctl的使用

    • 2 audit配置和规则

    • 3 工作原理

    • 4 audit接口调用

    •         * 4.1 获取和修改配置
      • 4.2 获取和修改规则
      • 4.3 获取审计日志

    • 5 audit存在的问题

    •         * 5.1 内核版本
      • 5.2 审计日志过多造成的缓存队列和磁盘问题
      • 5.2 容器环境下同一个命令的日志存在差异

    • 6 参考文档

1 audit简介

audit是Linux内核提供的一种审计机制,由于audit是内核提供的,因此,在使用audit的过程中就包含内核空间和用户空间部分:

  • rules:审计规则,其中配置了审计系统需要审计的操作
  • auditctl:用户态程序,用于审计规则配置和配置变更
  • kaudit:内核空间程序,根据配置好的审计规则记录发生的事件
  • auditd:用户态程序,通过netlink获取审计日志

通常的使用流程:

  • 用户通过auditctl配置审计规则
  • 内核的kauditd程序获取到审计规则后,记录对应的审计日志
  • 用户态的auditd获取审计日志并写入日志文件。

audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。

2 auditctl的使用

auditctl是用户态的控制程序,可以修改audit配置以及审计规则的操作。

auditctl的选项可以分成两类。

配置类:

  • -b:配置buffer的大小
  • -e:设置enabled标记
  • -f:设置failure标记
  • -s:返回整体的状态
  • –backlog_wait_time:设置backlog_wait_time

审计规则类:

  • -a & -A l,a:往某个规则表中增加需要记录的行为
  • -d:从某个规则表中删除规则
  • -D:删除所有规则
  • -F f=v:设置更多监控条件
  • -l:查看规则
  • -p:在文件监控上设置权限过滤
  • -i:当从文件中读取规则时忽略错误
  • -c:出错时继续
  • -r:设置rate_limit,每秒多少条消息
  • -R:从文件中读取规则
  • -S:设置要监控的系统调用名或者系统调用号
  • -w:增加监控点
  • -W:删除监控点

例如,假如我们想要获取调用execve系统调用的事件,可以增加下列的规则:

auditctl -a always,exit -S execve -F key=123456

然后就可以通过ausearch查找该日志:

ausearch -k 123456

如果想要获取执行tail命令的事件,可以增加规则:

auditctl -w /usr/bin/tail -p x -k 123456

然后使用tail命令查看通过ausearch命令查看日志:

time->Sun Apr 23 15:47:36 2023
type=PROCTITLE msg=audit(1682236056.128:4318964): proctitle=7461696C002D6E0032006C756F2E7368
type=PATH msg=audit(1682236056.128:4318964): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=36969 dev=08:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 objtype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PATH msg=audit(1682236056.128:4318964): item=0 name="/usr/bin/tail" inode=100666597 dev=08:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 objtype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=CWD msg=audit(1682236056.128:4318964):  cwd="/root"
type=EXECVE msg=audit(1682236056.128:4318964): argc=4 a0="tail" a1="-n" a2="2" a3="luo.sh"
type=SYSCALL msg=audit(1682236056.128:4318964): arch=c000003e syscall=59 success=yes exit=0 a0=20749e0 a1=218ecd0 a2=2179ee0 a3=7fffa4a99460 items=2 ppid=58219 pid=59519 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=956 comm="tail" exe="/usr/bin/tail" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="123456"

可以看到,开头一行是事件发生的事件,后面的若干行是执行tail命令产生的事件日志,有些日志很简单,例如CWD,表示操作的当前路径,而有些日志很复杂,例如SYSCALL,有接近30个字段。每行日志都有type字段和msg字段(冒号前面是时间戳,可以通过date命令转换,冒号后面是事件ID,同一条规则产生的事件的事件ID是一样的,因此,如果不使用ausearch查找某条规则产生的日志,就需要先用key进行查找,找到对应的事件ID,然后再通过事件ID查找产生的

最低0.47元/天 解锁文章
白帽Allen
关注
Linux 系统管理和监控命令---- auditctl 命令
redrose2100的博客
12-28 1904
auditctlLinux 审计系统(audit system)的一部分,它允许管理员配置审计规则,以跟踪和记录系统活动。这些规则可以帮助你监控对特定文件的访问、追踪特定用户的活动或记录系统调用。以下是auditctl
网络安全自学教程》- Linux日志详解
热门推荐
wangyuxiang946的博客
04-26 1万+
这篇文章给大家介绍Linux用来做安全审计的日志有哪些,解析日志字段含义。
linux 审计
cnbird's blog
07-09 771
linux 审计
Linux安全漏洞审计工具Lynis
weixin_33929309的博客
04-18 177
2019独角兽企业重金招聘Python工程师标准>>> ...
GNU/Linux audit英文文档
04-13
该文档是学习GNU/Linux审计入门级材料,详细介绍了Linux审计框架的组成部分、配置、控制审计系统、审计日志的理解和报告生成、使用ausearch查询审计守护进程日志、使用autrace分析进程以及审计数据的可视化等内容...
【操作系统】安全审计-audit_linux audit,关于网络优化你必须要知道的重点
m0_61330806的博客
04-09 1520
5.num_logs:max_log_file_action:如果没有设置num_logs值,它就默认为0,意味着从来不循环日志文件。如果达到这个水平,则会采取admin_space_left_ action所指定的动作。10.admin_space_left_action:当自由磁盘空间量达到admin_space_left指定的值时,则采取动作。7.3如果设置为 EMAIL,则从action_mail_acct向这个地址发送一封电子邮件,并向/var/log/messages中写一条警告消息。
Linux系统面临的攻击、风险及其安全加固和维护策略(附下载)
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-23 4318
Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。PAM是Linux上的可插拨认证模块机制,通过提供一些动态链接库和一套统一的api,将系统提供的服务和该服务的认证方式分开,使得系统管理呐可以根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。umask(默认文件权限666,文件夹777) 为用户创建权限掩码,是创建文件或文件夹时默认权限的基础,用户在创建时,文件的默认权限-掩码的权限就是文件的实际权限。
网络安全入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 1858
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
linux 审计(auditd)原理分析
guoguangwu的专栏
08-18 7057
前面几篇博客说过可以使用auditctl 添加和删除规则等。 现在谈谈auditd的相关实现。基于 Linux2.6.11.12 这些代码主要在下面的文件中 kernel/audit.c 提供了核心的审计机制。 kernel/auditsc.c 实现了系统调用审计、过滤审计事件的机制。 用户可以使用应用程序auditctl向内核添加规则,内核检测到这些变动之后,会在进程创...
Linux安全auditd审计工具使用说明
月生的静心苑
11-28 1万+
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
Linux安全审计功能的实现—audit命令
yunweimao的博客
02-10 9282
1、简介我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
LINUX 目录变动审计   --薛忠权 ERIKXUE
weixin_34361881的博客
06-04 154
新到一公司,他们的服务器最近被挂马,然后想利用一个脚本能够实时监控web目录下文件的变化,也就是对该目录的增删改操作都会记录到相应日志下。当时感觉这个功能的确实有点意思,所以网上查阅了些资料,自己研究了下,这会儿有空写了个脚本,分享给大家,如有问题,还请大家指出。以下我写了两个脚本:脚本1:将需要监控的目录的原始状态保存到LOG日志脚本2:将脚本1的原始状态与本脚本比对,如果...
linux开启安全审计功能,Linux操作系统之安全审计功能
weixin_28932089的博客
05-15 1万+
内核编译时,一般打开NET选项就打开AUDIT选项了。在系统中查看audit是否打开,root 用户执行:service auditd status我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员工的操作行为就需要开启审计功能,也就是auditd。1、首先执行以下命令开...
Linux 中的审计与系统调用(audit、syscall)
最新发布
w1010b的博客
03-16 1858
Linux AuditLinux 内核中的一个子系统,用于记录系统调用和文件访问等事件。通过 Audit,系统管理员可以监控系统中的安全相关事件,如文件访问、用户登录、权限更改等。Audit 提供了强大的日志记录功能,帮助管理员进行安全审计和故障排查。定期分析 Audit 日志可以帮助你及时发现潜在的安全问题,确保系统的安全性。
linux审计功能(audit
weixin_71792169的博客
09-26 4776
PART ONE 为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs) syslog会记录系统状态(硬件警告、
理解SELinux安全增强版Linux入门
此外,创建和管理SELinux策略涉及定义规则、属性和类型的控制,这通常需要使用工具如audit2allow和audit2why来分析日志并构建修复策略。 为了入门SELinux,你可以阅读相关的书籍,了解其工作原理,然后逐步学习如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值