recording just for inquiry in the future

auditd审计

 

相关命令有: auditd, auditctl, ausearch, aureport

相关文件: /etc/audit/auditd.conf, /etc/audit/audit.rules, /var/log/audit/audit.log

主要有两种方法进行设置,一是直接使用命令auditctl, 二是在audit.rules里写跟踪监视规则

 # auditctl -w /etc/passwd -p rwxa -k CFG_passwd

一般监视触发权限设为 - p wa就好, 额外的不必要的如rx, 会产生过多的审计记录

-k CFG_passwd, 设置审计规则的过滤器关键字,主要是用于ausearch -k key_string 好搜索,比如,有多个规则

去监视同一个文件或目录的时候,就可以根据-k key_string来过滤、唯一的定位要查看的规则产生的审计记录

-k key_string: ... typical use is for when you have several rules that together satisfy a security requirement

 

查看审计记录

可以直接查看/var/log/audit/audit.log

可以用命令 ausearch, 它 search audit records based on a certain option:

  --event   search based on event id

  --comm  ... command line name (comm=command)

  -- exit    ... syscall exit code

  --file -f   based on file name, this option is most commonly used.  

# ausearch -f /etc/passwd的部分结果

----
time->Tue Oct 13 16:17:21 2015
type=PATH msg=audit(1444724241.720:1382): item=0 name="/etc/passwd" inode=16516438 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1444724241.720:1382):  cwd="/root/Desktop"
type=SYSCALL msg=audit(1444724241.720:1382): arch=40000003 syscall=5 success=yes exit=3 a0=138ef8 a1=80000 a2=1b6 a3=138eb5 items=1 ppid=8010 pid=27369 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=142 comm="vi" exe="/bin/vi" key=(null)
----
每节分几个部分的内容:

  time: 审计时间

  type=path : 被监视、被审计文件的路径

  type=cwd :  表示发生审计事件时,用户所处的当前路径

  type=syscall: 系统调用,是哪个命令触发的审计事件,用户用的是哪个命令,

    上面显示中,comm="vi"表示使用的是vi命令去编辑的/etc/passwd文件,exe="/bin/vi"表示vi的路径

 

aureport

  生成审计报表,根据选项生成相应方面的报表信息

  aureport -c : 关于配置方面的审计报表信息

        -f, -m, -u, -l等等

 

posted @ 2015-10-13 18:23  noitanym  阅读(212)  评论(0编辑  收藏  举报