审计服务Auditd规则配置与查询
审计文件
1、增加规则(临时)
auditctl -w /etc/hosts -p wa -k hosts
auditctl -w /etc/fstab -p wa -k fstab
auditctl -w /etc/passwd -p wa -k passwd
auditctl -w /etc/shadow -p wa -k shadow
持久化
cat >/etc/audit/rules.d/audit.rules<<EOF
-w /etc/hosts -p wa -k hosts
-w /etc/fstab -p wa -k fstab
-w /etc/passwd -p wa -k passwd
-w /etc/shadow -p wa -k shadow
EOF
service auditd restart
2、列出所有规则
auditctl -l
3、查询审计日志
ausearch -k hosts
ausearch -k fstab
ausearch -k passwd
ausearch -k shadow
4、删除特定规则
auditctl -D -k hosts
auditctl -D -k fstab
auditctl -D -k passwd
auditctl -D -k shadow
5、删除所有规则
auditctl -D
审计执行命令
1、增加规则(临时)
auditctl -a exit,always -F arch=b32 -S execve -k commands
auditctl -a exit,always -F arch=b64 -S execve -k commands
只审计特定UID的用户
auditctl -a exit,always -F arch=b32 -F euid=1000 -S execve -k user1-commands
auditctl -a exit,always -F arch=b64 -F euid=1000 -S execve -k user1-commands
持久化
cat >/etc/audit/rules.d/audit.rules<<EOF
-a exit,always -F arch=b32 -S execve -k commands
-a exit,always -F arch=b64 -S execve -k commands
EOF
service auditd restart
2、列出所有规则
auditctl -l
3、查询审计日志
ausearch -k commands
ausearch -k user1-commands
4、查询特定用户执行的命令
ausearch -ue 0
ausearch -ue 1000
5、删除特定规则
auditctl -D -k commands
auditctl -D -k user1-commands
6、删除所有规则
auditctl -D
作者:wanghongwei
版权声明:本作品遵循<CC BY-NC-ND 4.0>版权协议,商业转载请联系作者获得授权,非商业转载请附上原文出处链接及本声明。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· Manus的开源复刻OpenManus初探
· 三行代码完成国际化适配,妙~啊~
· .NET Core 中如何实现缓存的预热?
· 如何调用 DeepSeek 的自然语言处理 API 接口并集成到在线客服系统