九、部署audit监控文件

审计的目的是基于事先配置的规则生成日志，记录可能发生在系统上的事件（正常或非正常行为的事件），审计不会为系统提供额外的安全保护，但她会发现并记录违反安全策略的人及其对应的行为。

审计能够记录的日志内容：

a) 日期与事件以及事件的结果

b) 触发事件的用户

c) 所有认证机制的使用都可以被记录，如ssh等

d) 对关键数据文件的修改行为等都可以被记录

 

定义临时文件系统规则：

语法格式：auditctl  -w  path  -p  permission  -k  key_name

path为需要审计的文件或目录

permission权限可以是r,w,x,a(文件或目录的属性发生变化)

Key_name为可选项，给规则取名称，方便识别哪些规则生成特定的日志项

 

配置audit审计系统

[root@proxy ~]# yum -y  install  audit                //安装软件包

[root@proxy ~]# cat /etc/audit/auditd.conf            //查看配置文件，确定日志位置

log_file = /var/log/audit/audit.log                  //日志文件路径

[root@proxy ~]# systemctl start auditd                //启动服务,不允许restart

[root@proxy ~]# systemctl enable auditd            //设置开机自启

 

[root@proxy ~]# auditctl  -s                        //查询状态

[root@proxy ~]# auditctl  -l                        //查看规则

[root@proxy ~]# auditctl  -D                        //删除所有规则

 

auditctl -w  /etc/passwd -p wa  -k  passwd_change  //设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志

auditctl  -w  /etc/selinux/  -p wa  -k  selinux_change    //设置规则，监控/etc/selinux目录

auditctl  -w  /usr/sbin/fdisk  -p  x  -k  disk_partition   //设置规则，监控fdisk程序

auditclt  -w  /etc/ssh/sshd_conf  -p warx  -k  sshd_config    //设置规则，监控sshd_conf文件

 

[root@proxy ~]# vim  /etc/audit/rules.d/audit.rules   //如果需要创建永久审计规则，则需要修改规则配置文件

-w /etc/passwd -p wa -k passwd_changes

-w /usr/sbin/fdisk -p x -k partition_disks

 

查看并分析日志

[root@proxy ~]# tailf  /var/log/audit/audit.log   //查看audit日志信息

type=SYSCALL msg=audit(1517557590.644:229228): arch=c000003e

syscall=2 success=yes exit=3

a0=7fff71721839 a1=0 a2=1fffffffffff0000 a3=7fff717204c0

items=1 ppid=7654 pid=7808 auid=0 uid=0 gid=0 euid=0 suid=0

fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="cat"

exe="/usr/bin/cat"

subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"

.. ..

#内容分析

type为类型   //msg为(time_stamp:ID)，时间是date +%s（1970-1-1至今的秒数）  //arch=c000003e，代表x86_64（16进制）

success=yes/no，事件是否成功    // a0-a3是程序调用时前4个参数，16进制编码了

ppid父进程ID，如bash //pid进程ID    // auid是审核用户的id，su - test, 依然可以追踪su前的账户  // uid，gid用户与组

tty:从哪个终端执行的命令(pts?表示远程,tty?表示本地)   // comm="cat" 用户在命令行执行的指令

exe="/bin/cat"        实际程序的路径   // key="sshd_config"    管理员定义的策略关键字key

type=CWD        用来记录当前工作目录   // cwd="/home/username"    // type=PATH

ouid(owner's user id）对象所有者id    //  guid(owner's groupid）    对象所有者id

 

通过工具搜索日志(ausearch)

默认程序会搜索/var/log/audit/audit.log

[root@proxy ~]# ausearch -k sshd_config -i  //根据key搜索特定日志，-i选项表示以交互式方式操作,-f 指定日志文件名(日志轮转后使用)