linux系统使用审计audit查看系统安全情况。

Posted on   风行天下-2080  阅读(307)  评论(0编辑  收藏  举报

https://blog.csdn.net/weixin_42680139/article/details/116578775?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1-116578775-blog-113629205.pc_relevant_multi_platform_whitelistv2&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1-116578775-blog-113629205.pc_relevant_multi_platform_whitelistv2&utm_relevant_index=1

https://blog.csdn.net/watermelonbig/article/details/124154640?spm=1001.2101.3001.6650.6&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7Edefault-6-124154640-blog-116578775.pc_relevant_default&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7Edefault-6-124154640-blog-116578775.pc_relevant_default&utm_relevant_index=11

https://blog.csdn.net/whuzm08/article/details/87267956?spm=1001.2101.3001.6650.4&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-4-87267956-blog-124154640.pc_relevant_multi_platform_whitelistv1_exp2&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-4-87267956-blog-124154640.pc_relevant_multi_platform_whitelistv1_exp2&utm_relevant_index=9

https://blog.csdn.net/qwertyupoiuytr/article/details/58278349?spm=1001.2101.3001.6650.4&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-4-58278349-blog-87267956.pc_relevant_multi_platform_whitelistv1_exp2&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-4-58278349-blog-87267956.pc_relevant_multi_platform_whitelistv1_exp2&utm_relevant_index=9

https://blog.csdn.net/weixin_34511324/article/details/116838160

查看审计报告

一旦定义审计规则后,它会自动运行。过一段时间后,我们可以看看auditd是如何帮我们跟踪审计的。

Auditd提供了另一个工具叫 aureport 。从名字上可以猜到, aureport 是使用系统审计日志生成简要报告的工具。

我们已经配置auditd去跟踪/etc/passwd文件。auditd参数设置后一段时间后,audit.log 文件就创建出来了。

生成审计报告,我们可以使用aureport工具。不带参数运行的话,可以生成审计活动的概述。

$ sudo aureport

6df9593b70c9da08b724105ae3fc792c.png

如上,报告包含了大多数重要区域的信息。

上图可以看出有 3 次授权失败。 使用aureport,我们可以深入查看这些信息。

1、

看所有账户修改相关的事件,可以使用-m参数。

$ sudo aureport -m

47d58cfa563121a23e8f1d31d13a9688.png

2、

使用以下命令查看授权失败的详细信息:

$ sudo aureport -au

059c807c45d3a181d0563521a6a556d7.png

从上图可以看出,由两个用户在特定的时间授权失败。

相关博文:
· Linux系统常用审计命令
· Linux系统上检查用户创建日期
· Linux系统审计
· Audit--审计工具
· 4步教你学会使用Linux-Audit工具
阅读排行:
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?
历史上的今天:
2021-07-08 Python @函数装饰器及用法

随笔 - 618, 文章 - 0, 评论 - 6, 阅读 - 37万

Copyright © 2025 风行天下-2080
Powered by .NET 9.0 on Kubernetes

点击右上角即可分享
微信分享提示
AI FOR CODE 大赛