Linux系统审计

什么是系统的审计?

审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。auditd(或 auditd 守护进程)是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。

审计能够记录日志的内容

  1. 日期与事件以及事件的结果
  2. 触发事件的用户
  3. 所有认证机制的使用都可以被记录,如ssh等
  4. 对关键数据文件的修改行为等都可以被记录

使用auditd做系统的审计

  • 使用audit监控/etc/ssh/sshd_config
  • 当该文件发生任何变化即记录日志
  • 通过手动和ausearch工具查看日志内容

配置audit审计系统:

yum -y install audit
systemctl start auditd
 cat /etc/audit/auditd.conf |grep log_file          #查看配置文件,确定日志位置
    log_file = /var/log/audit/audit.log               #日志文件路径

审计规则:

[root@proxy ~]# auditctl  -s                     #查询状态
[root@proxy ~]# auditctl  -l                      #查看规则
[root@proxy ~]# auditctl  -D                    #删除所有规则

定义临时文件系统规则:

语法格式 auditctl -w path -p permission -k key_name
path(路径) 为需要审计的文件或目录
permission(权限) 权限可以是r,w,x,a(文件或目录的属性发生变化)
key_name(别名) 方便识别哪些规则生成特定的日志项
  1. 设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
    auditctl -w  /etc/passwd  -p wa  -k  passwd_change
    
  2. 设置规则,监控/etc/selinux目录
    auditctl -w  /etc/selinux/  -p wa  -k  selinux_change
    
  3. 设置规则,监控fdisk程序
    auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition
    
  4. 设置规则,监控sshd_conf文件
    auditctl  -w  /etc/ssh/sshd_conf  -p warx  -k  sshd_config
    

设置永久文件系统规则

/etc/audit/rules.d/audit.rules          #写audit的规则

查看并分析日志:

 tailf /var/log/audit/audit.log             #实时日志观看

类型 参数的作用
type 类型
msg (time_stamp:ID),时间是date +%s(1970-1-1至今的秒数)
arch 例如: arch=c000003e,代表x86_64(16进制)
success (yes/no),事件是否成功
a0-a3 程序调用时前4个参数,16进制编码了ACSSII代码
ppid 父进程ID,如bash,pid进程ID,如cat命令
auid 审核用户的id,su – test, 依然可以追踪su前的账户
uid,gid 用户与组
tty 从哪个终端执行的命令
comm 例如: comm=”cat” 用户在命令行执行的指令
exe 例如: exe=”/bin/cat”实际程序的路径
key key=”sshd_config”管理员定义的策略关键字key
type=CWD 用来记录当前工作目录
cwd 例如:cwd=”/home/username”当前所在的家目录的用户名
ouid(owner’s user id) 对象所有者id
guid(owner’s groupid) 对象所有者id
type=PATH 类型的路径

通过工具搜索日志

ausearch -k sshd_config -i              #根据key搜索日志,-i选项表示以交互式方式操作

Linux系统审计》有7个想法

  1. impuijnl,Thanks for ones marvelous posting! I actually enjoyed reading it, you will be a great author.I will always bookmark your blog and will rwotvrqj,come back from now on. I want to encourage that you continue your great writing, have a nice afternoon!

  2. lysbhthpdl,A fascinating discussion is definitely worth comment. I do think that you ought to publish more on this topic, it may not be a taboo rbekqqlv,subject but generally folks don’t talk about such subjects. To the next! All the best!!

发表评论