linux服务——auditd

最新推荐文章于 2025-03-28 22:25:00 发布
最新推荐文章于 2025-03-28 22:25:00 发布
阅读量1.1w 收藏 7
点赞数
文章标签: linux user centos 编程 login 脚本

审计(audit)是linux安全体系的重要组成部分,他是一种“被动”的防御体系。

在内核里有内核审计模块,核外有核外的审计后台进程auditd。
应用程序给内核发送审计消息,内核的审计模块再把消息转发给用户空间的后台进程auditd处理。

大概就是这么回事,我不是太深入,如果需要更多的内容,自己去查阅相关资料。如果没有好的资料,我推荐一本,《linux安全体系分析与编程》作者倪继利 。

审计说穿了就是把和系统安全有关的事件记录下来:谁谁谁在什么时候做了什么事,结果是啥。

审计的消息来源主要有两方面:

1.内核(我不太确定)、应用程序(audit-libs-devel包里面有编程接口)产生的。

2.系统管理员添加的审计规则,匹配规则的事件都将被记录下来。

规则添加:

1 添加文件监视:
该规则能监视文件被读、写、执行、修改文件属性的操作,并记录
auditctl -w /etc/passwd -p rwax
上述命令记录/etc/passwd 被读、写、执行修改属性的操作

2 系统调用入口监视(entry链表)
该规则在进入系统调用的时候触发,记录此时的执行上下文
auditctl -a entry,always -F UID=root -S mkdir
上述命令记录uid为root的用户调用mkdir系统调用的情况

3 系统调用出口(exit链表)
同系统调用入口规则,不同的是在退出系统调用的时候被触发

4 任务规则(task表)
该规则在调用fork() 或者clone()产生新进程的时候触发,因此,该规则适用的“域”仅仅是此时可见的,例如uid gid pid 等等。(参见man auditctl和这里
auditctl -a task,always -F uid=root

5 可信应用程序规则(user表)
按照各种资料上的说法,这里的user表是用来过滤消息的,内核传递给审计后台进程之前先查询这个表。
但是,不管怎么设置规则都达不到这个效果。如下:
auditctl -a user,always -F uid=root
添加上述规则,发现root的行为被记录。这样添加规则还是被记录:
auditctl -a user,never -F uid=root
后来发现我的CentOS里面system-config-audit上面,该链表被命名为“可信应用程序”。受此启发写了个小程序,向审计内核里写消息,发现这样的消息被过滤了。
这点需要进一步验证。

6 过滤规则(exclude表)
这个表是用来过滤消息的,也就是不想看到的消息可以在这里写规则进行过滤。
例如:不想看到用户登陆类型的消息,可以如下添加规则:
auditctl -a exclude,always -F msgtype=USER_LOGIN
这里过滤是以“消息类型”为对象的。

 --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

下面的图片说明了Linux Audit的各个组成之间是如何

相互作用的:

linux的审计功能(audit)(转) - llei - llei的学习笔记linux的审计功能(audit)(转) - llei - llei的学习笔记

图片上实线代表数据流,虚线代表组件关之间的控制系

auditd

Audit 守护进程负负责把内核产生的信息写入到硬盘上,这些信息是由应用程序和系统活动所触发产生的。Audit守护进程如何启动取决于它的配置文件,/etc /sysconfig/auditd。Audit系统函数的启动受文件/etc/audit/auditd.conf的控制。有关auditd更多的信息参照第三节:配置Audit守护进程。

auditctl

auditctl功能用来控制Audit系统,它控制着生成日志的各种变量,以及内核审计的各种接口,还有决定跟踪哪些事件的规则。关于auditctl的更多信息参照第四节:用auditctl控制Audit系统。

audit rules

在/etc/audit/audit.rules中包含了一连串auditctl命令,这些命令在audit系统被启用的时候被立即加载。更所关于审计规则的信息请参看第五节:给audit系统传递变量

aureport

aureport的功能是能够从审计日志里面提取并产生一个个性化的报告,这些日志报告很容易被脚本化,并能应用于各种应用程序之中,如去描述结果,更多信息参看第六节:理解审计日志和生成审计报告

ausearch

这个功能能让我们从审计日志之中通过关键词或者是格式化录入日志中的其它特征变量查询我们想要看到的信息。详细信息请参看第七节:用ausearch查询audit守护进程的的日志。

audispd

这是一个审计调度进程,它可以为将审计的信息转发给其它应用程序,而不是只能将审计日志写入硬盘上的审计日志文件之中。

autrace

这个功能更总类似于strace,跟踪某一个进程,并将跟踪的结果写入日志文件之中。更多详细信息请参看第八节:用autrace分析进程

 

updba
关注
Linux 审计与日志安全工具 auditdLinux 审计守护进程
02-18 1206
在现代的 Linux 系统中,审计日志的安全性对于跟踪系统活动、检测安全漏洞、进行故障排查以及满足合规要求至关重要。`auditd`(Audit Daemon)是 Linux 系统中一个强大的工具,它通过记录系统活动日志,帮助管理员进行全面的安全审计和事件监控。本文将详细介绍 `auditd`,并阐述其如何帮助提高系统的安全性。
Linux系统——进程操作
u010198709的博客
10-17 758
默认情况下,所有指令都是在前台运行(占着命令提示符 )进程(process), 系统进行资源分配的最小单位。cpu按时间切片的方式执行多个进程,进程才会状态之分。1、建议写命令的全路径 【针对源码软件的命令】2、%默认识别为命令的结束符,需要转义, %R:运行, D/S:睡眠, +:前台。
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4490
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
Linux内核审计规则及其数据结构
最新发布
m0_74186706的博客
03-28 1068
一、基本概念一、基本概念在Linux内核中,是一种安全机制,用于跟踪和记录系统中发生的安全相关事件,例如用户操作、文件访问、系统调用等。其核心目标是提供对系统活动的透明监控,便于事后审查、入侵检测或合规性检查。Linux内核审计机制的核心功能在于实时监控和记录系统中的安全关键事件(如系统调用、文件访问和用户操作),通过动态规则管理允许管理员在不重启系统的条件下灵活调整监控策略,结合内核级高效过滤和异步日志处理,确保对生产环境性能影响最小;
Linux安全之auditd审计工具使用说明
月生的静心苑
11-28 9317
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
学习Linux审计守护工具之auditd
ReaF_star的博客
03-03 1658
auditd 一个linux重要组件, 主要用于监控系统调用和文件访问。通过配置审计规则,可以用来记录文件访问、登录尝试、权限更改等操作,能够帮管理员追踪系统的安全时间和异常行为。
Linux监听系统文件(二)——auditd
qq_43287763的博客
07-09 765
使用auditd可以记录文件的修改操作,博主采用的就是这种,下面是实例。首先,安装auditd然后,添加一个监控规则来监控这是auditd生成的审计日志输出,描述了之前设置的审计规则被添加的事件。让我们逐步解释每一部分的含义:这些日志条目表明你成功添加了一条审计规则来监视`/etc/locale.conf`文件的更改。接下来,审计日志将记录对这个文件的所有访问和更改。
auditd服务开启
12-31
### 如何在Linux系统中启动和配置auditd服务 #### 启动auditd服务 对于基于Red Hat的系统,可以使用`systemctl`命令来管理auditd服务: ```bash sudo systemctl start auditd.service ``` 为了确保每次开机自动...
Linux安全操作系统构建方法与技术(第五讲)——隐蔽通道和安全审计.pdf
09-07
- 选择合适的审计工具,如syslog服务器auditd等,确保其性能和稳定性。 - 实施实时监控,快速响应异常事件。 - 定期分析审计日志,发现潜在风险和漏洞。 - 保护审计数据,防止篡改和丢失。 - 配合其他安全措施,如...
Linux安全审计功能的实现——audit详解
热门推荐
u012759006的博客
04-29 1万+
1、安装: centos默认安装,Ubuntu:sudo apt-get install auditd 2、开启auditd服务: service auditd start 3、查看当前auditd服务状态: service auditd status auditctl -s 4、重启auditd服务: service auditd restart 或 service audi...
三章——firewalld防火墙(二)(应用——linux防护与群集)
MKC__jiaoq的博客
08-26 1254
三期总目录链接
Linux系统之auditd详解
weixin_56303229的博客
03-06 528
auditdLinux 审计系统的核心守护进程,它负责从内核审计框架收集信息,并将其写入磁盘上的日志文件中。通过 auditd,管理员可以监控系统的各种活动,包括文件访问、权限更改、系统调用等,这对于提高系统的安全性以及满足合规性要求非常重要。
Auditd入门
weixin_42277902的博客
07-03 3126
Audit的使用技巧总结
Linux安全审计功能的实现—audit命令
yunweimao的博客
02-10 9034
1、简介我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
Linux auditd.conf详解
ddd123789999的博客
11-01 3073
研究audit日志规则,本文为进程配置。 审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时, 一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个 目录或这个目录中的日志文件。 log_file =/var/log/audit/audit.log 写日志时要使用的格式。当设置为RAW时,数据会以从内核中检索到...
auditd-Linux操作系统审计工具简介
地球空间
12-11 1986
auditdLinux审计系统的用户空间组件,负责将审计记录写入磁盘。它可以帮助运维人员审计Linux系统,分析发生在系统中的事件。Linux内核具有记录事件的能力,包括系统调用和文件访问,auditd则负责将这些日志记录下来,以供管理员检查是否存在安全漏洞。
auditd审计程序使用详解
daibaohui的博客
08-29 2735
auditd(Linux审核守护程序)简介 auditdLinux审计系统的用户空间组件。它负责把审计记录写到磁盘上。查看日志是通过ausearch或aureport工具完成的。配置审计系统或加载规则是通过auditctl工具完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核。另外,还有一个augenrules程序,它读取位于/etc/audit/rules.d/中的规则,并将其编译成audit.rules文件。审计守护程序本身有一些配置选项,管
centos 日志审计_CentOS7下安全审计工具Auditd的简单使用
weixin_30143813的博客
01-17 3708
auditdauditdLinux审计系统的用户空间组件,它负责将审计记录写入磁盘。查看日志使用ausearch或aureport实用程序完成。使用auditctl实用程序配置审核系统或加载规则。在auditd启动期间,/etc/audit/audit.rules 中的审计规则由auditctl读取并加载到内核中。或者还有一个 augenrules程序,读取/etc/audit/rules.d...
rt-detrv3网络结构
03-16
### RT-DETRv3 网络结构分析 RT-DETRv3 是一种基于 Transformer 的实时端到端目标检测算法,其核心在于通过引入分层密集正监督方法以及一系列创新性的训练策略,解决了传统 DETR 模型收敛慢和解码器训练不足的问题。以下是 RT-DETRv3 的主要网络结构特点: #### 1. **基于 CNN 的辅助分支** 为了增强编码器的特征表示能力,RT-DETRv3 引入了一个基于卷积神经网络 (CNN) 的辅助分支[^3]。这一分支提供了密集的监督信号,能够与原始解码器协同工作,从而提升整体性能。 ```python class AuxiliaryBranch(nn.Module): def __init__(self, in_channels, out_channels): super(AuxiliaryBranch, self).__init__() self.conv = nn.Conv2d(in_channels, out_channels, kernel_size=3, padding=1) self.bn = nn.BatchNorm2d(out_channels) def forward(self, x): return F.relu(self.bn(self.conv(x))) ``` 此部分的设计灵感来源于传统的 CNN 架构,例如 YOLO 系列中的 CSPNet 和 PAN 结构[^2],这些技术被用来优化特征提取效率并减少计算开销。 --- #### 2. **自注意力扰动学习策略** 为解决解码器训练不足的问题,RT-DETRv3 提出了一种名为 *self-att 扰动* 的新学习策略。这种策略通过对多个查询组中阳性样本的标签分配进行多样化处理,有效增加了阳例的数量,进而提高了模型的学习能力和泛化性能。 具体实现方式是在训练过程中动态调整注意力权重分布,确保更多的高质量查询可以与真实标注 (Ground Truth) 进行匹配。 --- #### 3. **共享权重解编码器分支** 除了上述改进外,RT-DETRv3 还引入了一个共享权重的解编码器分支,专门用于提供密集的正向监督信号。这一设计不仅简化了模型架构,还显著降低了参数量和推理时间,使其更适合实时应用需求。 ```python class SharedDecoderEncoder(nn.Module): def __init__(self, d_model, nhead, num_layers): super(SharedDecoderEncoder, self).__init__() decoder_layer = nn.TransformerDecoderLayer(d_model=d_model, nhead=nhead) self.decoder = nn.TransformerDecoder(decoder_layer, num_layers=num_layers) def forward(self, tgt, memory): return self.decoder(tgt=tgt, memory=memory) ``` 通过这种方式,RT-DETRv3 实现了高效的目标检测流程,在保持高精度的同时大幅缩短了推理延迟。 --- #### 4. **与其他模型的关系** 值得一提的是,RT-DETRv3 并未完全抛弃经典的 CNN 技术,而是将其与 Transformer 结合起来形成混合架构[^4]。例如,它采用了 YOLO 系列中的 RepNCSP 模块替代冗余的多尺度自注意力层,从而减少了不必要的计算负担。 此外,RT-DETRv3 还借鉴了 DETR 的一对一匹配策略,并在此基础上进行了优化,进一步提升了小目标检测的能力。 --- ### 总结 综上所述,RT-DETRv3 的网络结构主要包括以下几个关键组件:基于 CNN 的辅助分支、自注意力扰动学习策略、共享权重解编码器分支以及混合编码器设计。这些技术创新共同推动了实时目标检测领域的发展,使其在复杂场景下的表现更加出色。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值