audit介绍

audit工具是Linux系统中负责审计的进程,可以用来记录Linux系统的一些操作,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,我们可以通过配置aidutd规则来对Linux服务器中发生的一些用户行为和用户操作进行监控。

 

相关命令

auditctl :可以用来添加、删除审计规则,查看审计规则等
aureport :可以查看审核报告
ausearch :用于搜索、查看事件的命令
autrace :用于追踪过程的命令

/etc/audit/audit.rules配置文件:这是配置审计规则的文件
/etc/audit/auditd.conf :是审计工具配置文件

在CentOS 7系统查看审计进程状态

 

 一、对重要文件进行审计

查看审计进程策略列表,可以看到系统当前是没有审计策略的

aidutctl -l

 

 

测试一下,没有配置audit时查看文件审计事件是什么样子

 

 用cat读取/etc/passwd文件

 

 此时再次查看会发现,audit并不会对文件进行审计

 

 修改/etc/passwd权限看看能否被审计,可以看到依然没有审计记录

 

 

 为/etc/passwd添加审计策略并查看审计策略列表

 

  使用命令:auditctl -w 路径/文件 -p 权限

 -w:添加

 -W:取消

 权限分为rwxa,分别是读/写/执行/修改权限

 查询审计列表使用auditctl -l

 

 取消审计策略

 

 

下面添加审计策略然后对/etc/passwd文件进行操作,再看一下审计记录

 

  此时系统便对/etc/passwd文件进行审计

 

 

记录的内容主要包括:时间、审核对象、当前目录、用户标识、命令、命令所属位置。而这条记录主要内容是2020年1月18日 周六 23:29:40 用户ID为0 组ID为0的用户使用/usr/bin/cat文件下的cat命令对/etc/passwd文件执行了cat操作

 

下面修改/etc/passwd文件的权限

 

 在审计记录中可以找到相应操作记录

 

 二、对目录进行审计

进入根目录创建test文件夹

 

 

为/test目录添加审计策略

 

 进入test目录添加新文件1.txt

查看审计记录

 

 放下翻看审计记录可以找创建文件的记录,说明对文件夹进行进行审计是可以成功的

 

 只对文件夹添加审计规则,是可以查询到文件夹中文件的审计记录的

 

三、查看审计报表

ausearch

 

 

 

 

 其中Number of failed logins: 6字段说明有6次失败登录,我们查看一下具体登录情况

 

 

 这是下图中no就是失败登录的信息

 

 

 

 

*对文件添加审计策略时,不添加执行权限的话审计记录会更干净!