linux audit审计(3)--audit服务配置
audit守护进程可以通过/etc/audit/auditd.conf文件进行配置,默认的auditd配置文件可以满足大多数环境的要求。 如果你的环境需要满足严格的安全规则,如下的一些配置可以参考: log_file:audit 日志放置的路径。这里放置日志的地方最好是一个独立 ...
原文:用Audit守护进程配置和审计Linux系统
Linux Audit守护进程是一个可以审计Linux系统事件的框架。在本文中,我们一起看看安装 配置和使用这个框架来执行Linux系统和安全审计。 审计目标 通过使用一个强大的审计框架,系统可以追踪很多事件类型来监控和并审计它。这样的例子包括: 审计文件访问和修改看看谁改变了一个特殊文件检测未授权的改变监控系统调用和函数检测异常,比如崩溃的进程为入侵检测目的设置 导火线 记录各个用户使用的命令 ...
2019-03-08 14:09 0 1143 推荐指数:
相关推荐
linux audit审计(5)--audit规则配置
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。 规则类型可分为: 1、控制规则:控制audit系统的规则; 2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。 3、系统 ...
linux audit审计(8)--开启audit对系统性能的影响
我们使用测试性能的工具,unixbench,它有一下几项测试项目: 测试结果类似如下: 测试了/boot/grub2/grub.cfg 中audit=0,和去除audit=0,以及开启auditd服务等的性能数据: 1、内核参数去掉audit=0,auditd服务 ...
linux audit审计(6)--audit永久生效的规则配置
定义reboot系统后,仍然生效的审计规则,有两种办法: 1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules 2、将规则文件放入到/etc ...
linux audit审计(2)--audit启动
参考:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls 1、启动audit内核模块 ...
linux的审计功能(audit)
为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。什么是auditThe Linux Audit Subsystem is a system to Collect information regarding events occurring ...
linux audit审计读懂audit日志
让我们先来构造一条audit日志。在home目录下新建一个目录,然后配置一条audit规则,对这个目录的wrax,都记录审计日志: root用户访问audit_test目录时,即在这个目录下ls,审计日志如下: type=SYSCALL msg=audit ...
linux audit审计(7-1)--读懂audit日志
auid=0 auid记录Audit user ID,that is the loginuid。当我使用lbh用户登录系统时,再访问audit_test,此时记录的auid为1001,具体日志如下: auid为登录用户的ID,如果是root,ID为0。并且解释 ...