Linux auditd 审计工具使用

Linux auditd(Audit Daemon)是一个内核审计框架,它提供了一种跟踪系统活动和记录安全事件的机制。通过使用auditd,系统管理员可以监视用户和进程的操作,跟踪文件访问,审计网络活动等。auditd是一个强大的审计工具,可以帮助管理员监视系统的安全性,并追踪和调查安全事件。比如最近系统上偶尔会出现某个目录下日志文件夹开机后突然被删除,又找不到记录和证据,这时候我们就可以使用auditd来监视审计文件什么时候被什么进程修改或删除了。

Linux auditd 审计工具使用

auditd安装:

  • Ubuntu:apt-get install auditd

  • CentOS:yum install audit

auditd使用方法:

  1. 审计规则(Audit Rules):auditd使用审计规则来确定哪些操作应该被记录。规则定义了要监视的系统资源(如文件、目录、用户、进程等),以及要记录的事件类型(如文件读取、写入、执行等)。auditd工具的配置文件位于 /etc/audit/auditd.conf可以通过修改/etc/audit/rule.d/audit.rules文件来配置审计规则,如想要监控某个文件夹被删除操作,可以在规则配置中文件中写入:-w /data/anzhihe/log/20231030 -p rwxa -k autocar

  2. 审计日志文件:auditd将记录的事件写入审计日志文件。默认情况下,日志文件位于/var/log/audit/audit.log,但可以在配置文件中进行自定义设置。日志文件包含了详细的事件信息,如时间戳、主机名、用户、进程、事件描述等。

  3. 审计查询工具:auditd提供了一些工具来查询和解析审计日志文件。常用的命令有:

    • ausearch:查询审计日志并提供过滤和搜索功能。如 ausearch -k autocar,-k 给当前这条监控规则起个名字,方便搜索过滤

    • aureport:生成审计日志的报告,如用户活动、文件访问等。

    • auditctl:用于配置和管理审计规则。

    • auditd:auditd的后台守护进程。

  4. 使用示例:

    • 启动auditd服务:service auditd start 或 systemctl start auditd

    • 停止auditd服务:service auditd stop 或 systemctl stop auditd

    • 监控 /root/.ssh/authorized_keys 文件是否被修改过:aditctl -w /root/.ssh/authorized_keys -p awrx -k auth_key

      • -w 指明要监控的文件

      • -p awrx 要监控的操作类型,append, write, read, execute

      • -k 给当前这条监控规则起个名字,方便搜索过滤

    • 搜索指定用户的活动:ausearch -k username -i

    • 生成用户活动报告:aureport --tty -i


参考:

anzhihe 安志合个人博客,版权所有 丨 如未注明,均为原创 丨 转载请注明转自:https://chegva.com/5871.html | ☆★★每天进步一点点,加油!★★☆ | 

您可能还感兴趣的文章!

发表评论

电子邮件地址不会被公开。 必填项已用*标注