使用audit工具常规命令监控系统访问文件

最新推荐文章于 2025-03-11 14:21:08 发布
最新推荐文章于 2025-03-11 14:21:08 发布
阅读量1k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: 运维 操作系统
原文链接:https://yq.aliyun.com/articles/673000

audit工具的作用

audit工具可以对文件使用进行监控,可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。

audit工具的安装和启动

Ubuntu使用apt-get audit。centos使用yum install audit
下面命令enable和启动、停止auditd

systemctl enable auditd 
Systemctl start auditd
Service auditd restart //在centos7.x上当auditd启动以后,
//auditd配置拒绝使用systemctl stop、restart 。只能使用service命令
Service auditd stop

audit工具的使用

audit关键组件

  • auditctl audit配置工具
  • ausearch audit结果查找工具
  • aureport report工具
  • autrace 跟踪工具,对一个进程进行跟踪类似于strace
  • auditd进程
  • /etc/audit/rules.d/audit.rules auditd进程启动后会从此处读去配置
  • /var/log/audit/audit.log audit详细日志都记录在此处

audit 常规使用方法

使用audit监控文件的读写访问

  • auditctl工具添加规则
    auditctl添加的规则每次audit服务重启后就消失了。
auditctl -l //查看当前生效的audit规则
Auditctl -w /home/zxy -p wxra // 参数-w对某个文件、目录进行监控,-p后面跟着是规则 w 写入 r 读 x 执行 a修改属性
auditctl -W /home/zxy //参数-W对某个文件、目录取消监控

auditctl 添加的规则也可以写入到/etc/audit/rules.d/audit.rules 文件最尾巴上,它可以保证每次audit服务重启后,规则还有效。

  • ausearch 查找规则监控的结果
    正常情况下audit启动后会出现大量的监控日志,可以使用ausearch 对日志进行过滤只显示感兴趣的项目
Ausearch -f zxy.txt //在日志中过滤出所有和zxy.txt相关的项目
  • audit输出项说明
字段用途其他
Time审计时间na
name审计对象na
cwd访问发起的当前路径na
syscall发起访问的系统调用号在linux系统的unistd.h中有记录系统调用号
ppid父进程idna
pid进程idna
uid访问文件的用户id0号表示root用户
gid访问文件的用户组id0号表示root用户组
com访问的用户命令na
exe访问的用户命令的全路径na
45、系统安全:加密、访问控制与网络安全全解析
vim8coder的博客
06-02 32
本文深入解析了系统安全的多个核心方面,包括文件加密的最佳实践、基于角色的访问控制(RBAC)的实现机制以及网络安全的防护策略。详细介绍了AIX和Solaris系统中角色与权限的配置方法,并提供了网络安全的具体措施,如防火墙、IDS/IPS配置及安全审计。文章旨在帮助用户构建全面的安全体系,以应对不断变化的安全威胁。
《云计算》-安全策略-部署audit监控文件文件发生任何变化即记录日志、通过手动和ausearch工具查看日志内容
解启超
03-06 561
1 案例1:部署audit监控文件 1.1 问题 本案例要求熟悉audit审计工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2 方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会...
strace 对auditd监控的系统调用syscall性能分析
guoguangwu的专栏
08-26 888
编写测试程序,内部调用系统调用,或者比较简单的方式,对sshd进程进行性能分析。 采用第二种方式进行分析: 找到要监控性能的进程的pid; 不开启auditd监控规则使用strace开始测试 启动检测 sudo strace -c -p 7344 上传文件linux_kernel_2-6-11-12_comment.tar.bz2 上传完毕, ctrl +c 终止。 ...
auditd 监控网络
guoguangwu的专栏
05-31 1646
安装auditd 查看auditd是否启动 service auditd status 如果出现 Active: active (running),说明已启动。 先查看规则auditctl -l 添加规则auditctl -a always,exit -F arch=b64 -S socket auditctl -a always,exit -F arch=b6...
auditctl
mr_raptor的专栏
04-10 4866
安装: apt-get install auditd.1.auditd 是后台守护进程,负责监控记录2.auditctl 配置规则工具3.auditsearch 搜索查看4.aureport 根据监控记录生成报表比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:aditctl -w /root/.ssh/authorized_keys -p war -k aut
51: 系统审计 、 服务安全 、 服务安全 、 Linux安全之打补丁 、 总结和答疑
weixin_46575696的博客
11-13 608
CASE Top NSD SECURITY DAY05 案例1:部署audit监控文件 案例2:加固常见服务的安全 案例3:使用diff和patch工具打补丁 ...
【Linux文件系统实时监控实战】:掌握inotify-tools和audit的高级用法
[【Linux文件系统实时监控实战】:掌握inotify-tools和audit的高级用法](https://linuxtldr.com/wp-content/uploads/2024/05/monitoring-a-single-file-using-inotifywait-1024x579.webp) # 1. Linux文件系统监控...
Linux文件系统访问控制列表(ACL)精讲
Linux文件系统访问控制列表(ACL)作为一种先进的权限管理系统,提供了一种灵活且强大的方式,允许管理员定义更细致的权限规则。 ## 2.1 ACL的基本概念和作用 ### 访问控制列表的定义 ACL是一种权限管理机制,它...
【权威指南】:distcp工具在分布式文件系统中的应用技巧
Hadoop生态系统中的`distcp`(即分布式复制工具)便是为了在这些文件系统之间有效地传输数据而设计。`distcp`不仅仅是一个简单的复制工具,它在数据迁移、备份、数据仓库维护等多个方面都发挥着关键作用
【Linux文件系统调优攻略】:性能监控和优化的最佳实践
[【Linux文件系统调优攻略】:性能监控和优化的最佳实践](https://learn.redhat.com/t5/image/serverpage/image-id/8224iE85D3267C9D49160/image-size/large?v=v2&px=999) # 1. Linux文件系统概述 Linux操作系统中...
部署audit监控文件
weixin_41176080的博客
02-12 385
1案例1:部署audit监控文件 1.1问题 本案例要求熟悉audit书籍工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现...
Linux 文件通知机制,文件监控与通知机制 audit inotify
weixin_28693447的博客
05-05 293
什么是auditThe Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s)Kernel events (syscall events)User events (audit-enabled programs)syslog会记录系统状态(硬件警告、软件的...
谁动了我的文件——使用audit监控文件和目录
热门推荐
Blue summer的博客
07-13 1万+
有时候在系统上经常会遇到某个文件不知被谁修改了,或者删除了,又找不到证据,这时候audit就派上用场了。 比如我要监控/var/log/test这个目录,可以这样新增一个监控项, [root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test [root@CentOS-7-2 /var/log/test]# auditctl -l -w...
通过audit监控某个文件的写操作
llxx1234的博客
05-27 1057
按照下面的步骤可以增加对某个文件写操作的监控, 1、vi /etc/audit/rules.d/audit.rules在最后一行加入一行 -w 文件名字 -p w -k 别名(test) 2、 执行service auditd restart 3、获取监控结果,有两种方法 cat /var/log/audit/audit.log |grep test au...
linux的审计功能(audit
weixin_71792169的博客
09-26 4408
PART ONE 为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs) syslog会记录系统状态(硬件警告、
auditd监控命令或者文件
最新发布
wuqing2012mxd的博客
03-11 279
的执行情况(对于未来的事件)
audit可以监听kill事件,找到进程被杀掉的罪魁祸首
xinrun109的专栏
08-31 1990
audit监听kill事件,保留被杀现场,从而分析进程被杀原因,找到凶手。
在Linux上面监视文件变更的各种方法踩坑
wesleyflagon的专栏
05-25 2293
监视整个系统的所有文件变更,整理出文件列表以便进行其他分析。于是找了一些apt仓库里的开源软件,挨个试了试。(测试机的系统是Deepin)
部署audit监控文件使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容
彭淦淦的博客
04-23 1042
1.1 问题 本案例要求熟悉audit审计工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2 方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的...
linux查看文件操作记录
12-28
### 查看Linux中的文件操作日志 在Linux系统中,查看文件操作的日志可以通过多种方式实现。通常情况下,这些日志信息会被记录到特定位置以便于管理和查询。 对于大多数现代Linux发行版而言,`/var/log` 是存储各种服务和应用程序日志的主要目录[^2]。具体来说: - **Syslog** 或者更先进的 **rsyslogd** 可能会捕获并保存某些类型的文件访问事件。默认配置下,这类消息可能会被写入 `/var/log/syslog` (Debian及其衍生版本)或是 `/var/log/messages` 文件(RedHat系列及其他一些发行版)。 为了专门监控文件系统的变更活动,可以考虑使用 `auditd` 守护进程来跟踪详细的文件访问行为。安装并启用审计工具之后,能够定义规则集用于捕捉读取、修改等动作,并将其结果存放在 `/var/log/audit/audit.log` 中供后续分析。 另外,在MySQL数据库环境中,InnoDB引擎产生的重做日志也会涉及到文件级别的I/O操作;然而这主要针对的是事务处理而非一般意义上的操作系统文件管理[^3]。因此如果目标是监视常规文件的操作,则应关注上述提到的标准日志路径和服务。 最后值得注意的一点是在执行任何涉及敏感数据或权限受限资源的任务之前,请确保拥有适当的权利以及遵循所在环境的安全策略规定。 ```bash # 使用journalctl命令查看最近一段时间内的所有日志条目 sudo journalctl --since "2023-01-01" # 如果已安装auditd,可通过ausearch按时间范围搜索指定类型(event type)的事件 sudo ausearch -ts recent -m PATH ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值