Linux系统审计

什么是系统的审计？

审计的目的是基于事先配置的规则生成日志，记录可能发生在系统上的事件（正常或非正常行为的事件），审计不会为系统提供额外的安全保护，但她会发现并记录违反安全策略的人及其对应的行为。auditd（或 auditd 守护进程）是Linux审计系统中用户空间的一个组件，其负责将审计记录写入磁盘。

审计能够记录日志的内容

1. 日期与事件以及事件的结果
2. 触发事件的用户
3. 所有认证机制的使用都可以被记录，如ssh等
4. 对关键数据文件的修改行为等都可以被记录

使用auditd做系统的审计

• 使用audit监控/etc/ssh/sshd_config
• 当该文件发生任何变化即记录日志
• 通过手动和ausearch工具查看日志内容

配置audit审计系统：

yum -y install audit
systemctl start auditd
 cat /etc/audit/auditd.conf |grep log_file          #查看配置文件，确定日志位置
    log_file = /var/log/audit/audit.log               #日志文件路径

审计规则：

[root@proxy ~]# auditctl  -s                     #查询状态
[root@proxy ~]# auditctl  -l                      #查看规则
[root@proxy ~]# auditctl  -D                    #删除所有规则

定义临时文件系统规则：

语法格式	auditctl -w path -p permission -k key_name
path（路径）	为需要审计的文件或目录
permission（权限）	权限可以是r,w,x,a(文件或目录的属性发生变化)
key_name（别名）	方便识别哪些规则生成特定的日志项

1、设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志

auditctl -w  /etc/passwd  -p wa  -k  passwd_change

2、设置规则，监控/etc/selinux目录

auditctl -w  /etc/selinux/  -p wa  -k  selinux_change

3、设置规则，监控fdisk程序

auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition

4、设置规则，监控sshd_conf文件

auditctl  -w  /etc/ssh/sshd_conf  -p warx  -k  sshd_config

设置永久文件系统规则

/etc/audit/rules.d/audit.rules          #写audit的规则

ausearch -m    #按消息类型查找
ausearch -ul   #按登陆ID查找
ausearch -ua   #按uid和euid查找
ausearch -ui   #按uid查找
ausearch -ue   #按euid查找
ausearch -ga   #按gid和egid查找
ausearch -gi   #按gid查找
ausearch -ge   #按egid查找
ausearch -c    #按cmd查找
ausearch -x    #按exe查找
ausearch -sc   #按syscall查找
ausearch -p    #按pid查找
ausearch -sv   #按syscall的返回值查找（yes/no）
ausearch -f    #按文件名查找
ausearch -tm   #按连接终端查找(term/ssh/tty)
ausearch -hn   #按主机名查找
ausearch -k    #按特定的key值查找
ausearch -w    #按在audit rule设定的字符串查找

ausearch -f /etc/passwd

 

显示成功事件

 

 生成9:00～18:00这段时间内的报表

aureport -ts 9:00-te 18:00-f