Linux 中的审计与系统调用(audit、syscall)

原创 已于 2025-03-16 22:59:12 修改 · 1.8k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #大数据 #运维

于 2025-03-16 22:11:09 首次发布

Linux审计与系统调用

文章目录

介绍

Linux Audit 是 Linux 内核中的一个子系统,用于记录系统调用和文件访问等事件。通过 Audit,系统管理员可以监控系统中的安全相关事件,如文件访问、用户登录、权限更改等。Audit 提供了强大的日志记录功能,帮助管理员进行安全审计和故障排查。定期分析 Audit 日志可以帮助你及时发现潜在的安全问题,确保系统的安全性。

安装 Audit

在 CentOS 中,Audit 可以通过 yum 包管理器安装。

  1. 更新系统包:

    yum update -y

  2. 安装 Audit:

    yum install audit -y

  3. 验证安装:

    auditctl -v

    如果安装成功,会显示 Audit 的版本信息。

Audit 配置文件

Audit 的主要配置文件位于 /etc/audit/auditd.conf,用于配置 Audit 守护进程的行为。

配置文件示例

# 日志文件路径
log_file = /var/log/audit/audit.log

# 日志文件格式
log_format = RAW

# 日志文件大小(MB)
max_log_file = 50

# 保留的日志文件数量
num_logs = 5

# 日志文件权限
log_group = root

配置选项说明

  • log_file:指定日志文件的路径。
  • log_format:日志文件格式,可以是 RAWNOLOG
  • max_log_file:单个日志文件的最大大小(MB)。
  • num_logs:保留的日志文件数量。
  • log_group:日志文件的所属组。

Audit 相关命令

Audit 提供了多个命令用于配置和管理审计规则。

auditctl

用于配置和管理审计规则。

常用选项
  • -a:添加规则。
  • -d:删除规则。
  • -l:列出当前规则。
  • -s:显示审计系统状态。
  • -w:监控文件或目录。
选项详细解释

  1. -a:添加规则

    • 语法:auditctl -a <action>,<filter>
    • 参数:
      • <action>:规则的动作,可以是 alwaysnever
        • always:总是记录匹配的事件。
        • never:从不记录匹配的事件。
      • <filter>:规则的过滤器,可以是 taskexituserexclude
        • task:记录任务创建事件。
        • exit:记录系统调用退出事件。
        • user:记录用户空间事件。
        • exclude:排除特定事件。

    示例:

    auditctl -a always,exit

    解释:添加一条规则,总是记录系统调用退出事件。

  2. -d:删除规则

    • 语法:auditctl -d <action>,<filter>
    • 参数:与 -a 相同。

    示例:

    auditctl -d always,exit

    解释:删除一条规则,停止记录系统调用退出事件。

  3. -l:列出当前规则

    • 语法:auditctl -l
    • 参数:无。

    示例:

    auditctl -l

    解释:列出当前所有审计规则。

  4. -s:显示审计系统状态

    • 语法:auditctl -s
    • 参数:无。

    示例:

    auditctl -s

    解释:显示审计系统的当前状态,包括启用状态、日志文件信息等。

  5. -w:监控文件或目录

    • 语法:auditctl -w <path> -p <permissions> -k <key>
    • 参数:
      • <path>:要监控的文件或目录路径。
      • <permissions>:监控的操作类型,可以是 r(读)、w(写)、x(执行)、a(属性更改)的组合。
      • <key>:规则的键值,用于标识规则。

    示例:

    auditctl -w /etc/passwd -p rw -k passwd_access

    解释:监控 /etc/passwd 文件的读写操作,并使用键值 passwd_access 标识该规则。

  6. -F:指定过滤条件

    • 语法:auditctl -a <action>,<filter> -F <field>=<value>
    • 参数:
      • <field>:过滤字段,如 arch(系统架构)、uid(用户 ID)、gid(组 ID)等。
      • <value>:过滤字段的值。

    示例:

    auditctl -a always,exit -F arch=b64 -S open -k file_open

    解释:添加一条规则,总是记录 64 位系统架构下的 open 系统调用,并使用键值 file_open 标识该规则。

  7. -S:指定系统调用

    • 语法:auditctl -a <action>,<filter> -S <syscall>
    • 参数:
      • <syscall>:系统调用名称,如 openreadwrite 等。

    示例:

    auditctl -a always,exit -S open -k file_open

    解释:添加一条规则,总是记录 open 系统调用,并使用键值 file_open 标识该规则。

  8. -k:指定规则的键值

    • 语法:auditctl -a <action>,<filter> -k <key>
    • 参数:
      • <key>:规则的键值,用于标识规则。

    示例:

    auditctl -a always,exit -S open -k file_open

    解释:添加一条规则,总是记录 open 系统调用,并使用键值 file_open 标识该规则。

系统调用分类

在 Linux 系统中,系统调用(System Call)是用户空间程序与内核交互的接口。通过监控系统调用,可以深入了解程序的行为,包括文件操作、进程管理、网络通信等。Audit 系统支持监控多种系统调用,以下是一些常见的分类:

文件操作相关系统调用

这些系统调用用于文件的创建、读取、写入、删除等操作。

常见系统调用
  • open:打开文件。
  • read:读取文件内容。
  • write:写入文件内容。
  • close:关闭文件。
  • unlink:删除文件。
  • rename:重命名文件。
  • mkdir:创建目录。
  • rmdir:删除目录。
示例规则

监控 /etc/passwd 文件的读写操作:

auditctl -a always,exit -F arch=b64 -S open -S read -S write -F path=/etc/passwd -k passwd_access

进程管理相关系统调用

这些系统调用用于进程的创建、终止、权限切换等操作。

常见系统调用
  • fork:创建子进程。
  • execve:执行新程序。
  • exit:终止进程。
  • setuid:设置用户 ID。
  • setgid:设置组 ID。
  • kill:发送信号给进程。
示例规则

监控 execve 系统调用(程序执行):

auditctl -a always,exit -F arch=b64 -S execve -k program_exec

网络通信相关系统调用

这些系统调用用于网络套接字的创建、连接、数据传输等操作。

常见系统调用
  • socket:创建套接字。
  • bind:绑定套接字到地址。
  • connect:连接到远程地址。
  • accept:接受连接请求。
  • send:发送数据。
  • recv:接收数据。
  • close:关闭套接字。
示例规则

监控 socket 系统调用(网络套接字创建):

auditctl -a always,exit -F arch=b64 -S socket -k network_socket

权限管理相关系统调用

这些系统调用用于用户和权限的管理。

常见系统调用
  • chmod:修改文件权限。
  • chown:修改文件所有者。
  • setxattr:设置文件扩展属性。
  • capset:设置进程的能力(capabilities)。
示例规则

监控 chmod 系统调用(文件权限修改):

auditctl -a always,exit -F arch=b64 -S chmod -k file_permission_change

用户登录和会话管理相关系统调用

这些系统调用用于用户登录、会话管理等操作。

常见系统调用
  • login:用户登录。
  • setuid:切换用户 ID。
  • setgid:切换组 ID。
  • setsid:创建新会话。
示例规则

监控 setuid 系统调用(用户 ID 切换):

auditctl -a always,exit -F arch=b64 -S setuid -k user_switch

内存管理相关系统调用

这些系统调用用于内存的分配、释放等操作。

常见系统调用
  • mmap:映射文件或设备到内存。
  • munmap:取消内存映射。
  • mprotect:设置内存保护。
示例规则

监控 mmap 系统调用(内存映射):

auditctl -a always,exit -F arch=b64 -S mmap -k memory_map

时间管理相关系统调用

这些系统调用用于获取或设置系统时间。

常见系统调用
  • gettimeofday:获取当前时间。
  • settimeofday:设置系统时间。
  • adjtimex:调整系统时钟。
示例规则

监控 settimeofday 系统调用(系统时间修改):

auditctl -a always,exit -F arch=b64 -S settimeofday -k time_change

信号处理相关系统调用

这些系统调用用于信号的发送和处理。

常见系统调用
  • kill:发送信号给进程。
  • sigaction:设置信号处理函数。
  • signal:设置信号处理函数。
示例规则

监控 kill 系统调用(信号发送):

auditctl -a always,exit -F arch=b64 -S kill -k signal_send

设备管理相关系统调用

这些系统调用用于设备的访问和控制。

常见系统调用
  • ioctl:设备控制操作。
  • open:打开设备文件。
  • close:关闭设备文件。
示例规则

监控 ioctl 系统调用(设备控制):

auditctl -a always,exit -F arch=b64 -S ioctl -k device_control

其他常见系统调用

  • brk:调整堆内存大小。
  • clone:创建新线程或进程。
  • ptrace:进程跟踪(用于调试)。
  • mount:挂载文件系统。
  • umount:卸载文件系统。
示例规则

监控 mount 系统调用(文件系统挂载):

auditctl -a always,exit -F arch=b64 -S mount -k filesystem_mount

典型用法

监控文件访问

  1. 监控 /etc/passwd 文件的读写操作:

    auditctl -w /etc/passwd -p rw -k passwd_access

  2. 查看相关日志:

    ausearch -k passwd_access

监控用户登录

  1. 监控用户登录事件:

    auditctl -a always,exit -F arch=b64 -S login -k user_login

  2. 查看相关日志:

    ausearch -k user_login

监控系统调用

  1. 监控 open 系统调用:

    auditctl -a always,exit -F arch=b64 -S open -k file_open

  2. 查看相关日志:

    ausearch -k file_open

日志管理与分析

Audit 日志默认存储在 /var/log/audit/audit.log 中。为了更好地管理日志,可以配置日志轮转。

  1. 编辑日志轮转配置:

    vi /etc/logrotate.d/audit

  2. 添加以下内容:

    /var/log/audit/audit.log {
    weekly
    rotate 4
    compress
    missingok
    notifempty
}

  3. 保存并退出编辑器。

  4. 手动测试日志轮转:

    logrotate -f /etc/logrotate.d/audit

常见问题

1. Audit 日志文件过大

如果 Audit 日志文件过大,可以调整日志文件大小和保留数量:

vi /etc/audit/auditd.conf

修改 max_log_filenum_logs 参数。

2. Audit 规则不生效

确保 Audit 服务正在运行:

systemctl status auditd

如果服务未启动,可以启动服务:

systemctl start auditd

3. 如何永久保存 Audit 规则

Audit 规则默认在重启后失效。可以将规则添加到 /etc/audit/rules.d/audit.rules 文件中:

auditctl -l >> /etc/audit/rules.d/audit.rules

参考文档

w1010b
关注
linux audit(安全审计功能)
underzerotem的博客
05-07 1516
今天系统中遇到rc.local被人删除掉的问题,从同事那里得知一工具可以监控文件被删除或修改是被谁和哪条指令修改的,就是audit,总结了一下,尤其是注意事项,希望后续可以省掉一些问题定位时间。 Linux安全审计功能 audit详解 动机 我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,...
Linux内核:进程管理——安全审计
m0_74282605的博客
04-17 1691
audit.rules 是 audit 的规则文件,确定 audit 的日志中记录哪些操作。syslog记录的信息有限,主要目的是软件调试,跟踪和打印软件的运行状态,而audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
linux审计功能(audit
weixin_71792169的博客
09-26 4758
PART ONE 为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs) syslog会记录系统状态(硬件警告、
【安全】linux audit审计使用入门
追寻梦想的青春
10-11 6143
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
linux 安全审计audit 系统审计 记录root操作
sonflower123的博客
06-08 3387
Linux auditctl 使用
Linux审计audit工具的用法,配置审计过程阅读审计内容
ck784101777的博客
02-03 4359
一、Linux审计功能 1.什么是审计 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。 2.审计能够记录到日志的内容 -事件发生的日期和结果,触发事件的用户 -远程连接记录,如访问ssh,ftp -对标记目录或文件的修改行为 -监控调用的系统资源 -记...
linux审计原理,Linux安全审计机制模块实现分析(1)
weixin_30296363的博客
05-13 521
2详细分析2.1模块功能描述本模块包含以下几个子系统:(1) 审计消息的生成和发送子系统;(2) 审计消息过滤子系统;(3) 审计系统初始化子系统;(4) 进程审计子系统;(5) 文件系统审计子系统。第(1)个子系统的支撑函数是audit_log、audit_log_start、audit_log_format和audit_log_end,该部分的这几个函数,作为内核函数中的审计API在内核其它部...
linux开启审计进程,系统运维|Auditd-Linux 服务器安全审计工具
weixin_42680139的博客
04-28 2398
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。什么是auditd...
Linux audit 安全审计干货
qq_40795955的博客
05-13 2721
目录简介一丶审计规则(Auditctl 和 audit.rules)二丶配置文件(auditd.conf)三丶报告工具(aureport)四丶事件查找(ausearch) 简介 简单来说,修改两个配置文件(/etc/audit/audit.rules 和/etc/audit/auditd.conf ),然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤:内核选项勾选和安装软件包(上篇文章已介绍)。添加审计规则,修改配置文件,然后启用 audit 守护进程进行日志记
Linux系统命令审计
weixin_34162695的博客
09-27 332
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux安全审计功能的实现—audit命令
yunweimao的博客
02-10 9277
1、简介我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
linux系统之audit审计
liuxe1990的博客
04-23 949
什么是审计 审计案例 部署audit [root@sheji57 ~]# yum -y install audit [root@sheji57 ~]# systemctl start auditd [root@sheji57 ~]# systemctl enable auditd 定义临时规则 [root@sheji57 ~]# auditctl -w /etc/passwd -p wa...
Linux audit详解
热门推荐
whuzm08的专栏
02-14 3万+
什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs) syslog记录的信息有限,主要...
Linux-audit
feiyu5323的专栏
06-19 2001
导航 (返回顶部) 1. Audit_framework原文翻译 1.1 添加规则 1.2 搜索日志 1.3 寻找异常 1.4 哪些文件或系统调用值得审核? 2. man auditctl 译文 2.1 CONFIGURATION OPTIONS 2.2 STATUS OPTIONS 2.3 RULE OPTIONS 2.4 PERFORMANCE TIPS 性能提示 2....
linux主机motd和命令审计
Swang1的博客
06-09 946
motd和命令审计
Linux Auditing System
qq_40795955的博客
05-08 437
目录简介启用内核选项增加软件包auditd配置和启用auditd 简介 Linux Auditing System用于跟踪和记录Linux操作系统中和安全相关的事件,其包含对应的内核组件(CONFIG_AUDIT)及用户态的软件包(auditd),auditd又包含如下主要组件: auditd:守护进程,用于记录事件; auditctl:命令行工具,用于控制auditd,如增加和删除规则 aur...
Linux下安全审计audit 系统审计 记录root操作
河静
09-24 4420
Linux下安全审计audit 系统审计 1.审计介绍 Linux 审计系统提供了一种跟踪系统上安全相关的信息的方法。根据预先配置的规则,Audit 会生成日志条目,以尽可能多地记录有关系统上发生的事件的信息。此信息对于关键任务环境确定安全策略的违反者及其执行的操作至关重要。审计不会为您的系统提供额外的安全性;相反,它可用于发现违反您系统上使用的安全策略的情况。可以通过其他安全措施(例如 SELinux)进一步防止这些违规行为。 audit能够在日志中记录的信息有: 时间的日期时间、类型和结果 主体和
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值