audit介紹
audit工具是Linux系統中負責審計的進程,可以用來記錄Linux系統的一些操作,比如系統調用,文件修改,執行的程序,系統登入登出和記錄所有系統中所有的事件,我們可以通過配置aidutd規則來對Linux服務器中發生的一些用戶行為和用戶操作進行監控。
相關命令
auditctl :可以用來添加、刪除審計規則,查看審計規則等
aureport :可以查看審核報告
ausearch :用於搜索、查看事件的命令
autrace :用於追蹤過程的命令
/etc/audit/audit.rules配置文件:這是配置審計規則的文件
/etc/audit/auditd.conf :是審計工具配置文件
在CentOS 7系統查看審計進程狀態
一、對重要文件進行審計
查看審計進程策略列表,可以看到系統當前是沒有審計策略的
aidutctl -l
測試一下,沒有配置audit時查看文件審計事件是什么樣子
用cat讀取/etc/passwd文件
此時再次查看會發現,audit並不會對文件進行審計
修改/etc/passwd權限看看能否被審計,可以看到依然沒有審計記錄
為/etc/passwd添加審計策略並查看審計策略列表
使用命令:auditctl -w 路徑/文件 -p 權限
-w:添加
-W:取消
權限分為rwxa,分別是讀/寫/執行/修改權限
查詢審計列表使用auditctl -l
取消審計策略
下面添加審計策略然后對/etc/passwd文件進行操作,再看一下審計記錄
此時系統便對/etc/passwd文件進行審計
記錄的內容主要包括:時間、審核對象、當前目錄、用戶標識、命令、命令所屬位置。而這條記錄主要內容是2020年1月18日 周六 23:29:40 用戶ID為0 組ID為0的用戶使用/usr/bin/cat文件下的cat命令對/etc/passwd文件執行了cat操作
下面修改/etc/passwd文件的權限
在審計記錄中可以找到相應操作記錄
二、對目錄進行審計
進入根目錄創建test文件夾
為/test目錄添加審計策略
進入test目錄添加新文件1.txt
查看審計記錄
放下翻看審計記錄可以找創建文件的記錄,說明對文件夾進行進行審計是可以成功的
只對文件夾添加審計規則,是可以查詢到文件夾中文件的審計記錄的
三、查看審計報表
ausearch
其中Number of failed logins: 6字段說明有6次失敗登錄,我們查看一下具體登錄情況
這是下圖中no就是失敗登錄的信息
*對文件添加審計策略時,不添加執行權限的話審計記錄會更干凈!
