linux audit審計(3)--audit服務配置
audit守護進程可以通過/etc/audit/auditd.conf文件進行配置,默認的auditd配置文件可以滿足大多數環境的要求。 如果你的環境需要滿足嚴格的安全規則,如下的一些配置可以參考: log_file:audit 日志放置的路徑。這里放置日志的地方最好是一個獨立 ...
原文:用Audit守護進程配置和審計Linux系統
Linux Audit守護進程是一個可以審計Linux系統事件的框架。在本文中,我們一起看看安裝 配置和使用這個框架來執行Linux系統和安全審計。 審計目標 通過使用一個強大的審計框架,系統可以追蹤很多事件類型來監控和並審計它。這樣的例子包括: 審計文件訪問和修改看看誰改變了一個特殊文件檢測未授權的改變監控系統調用和函數檢測異常,比如崩潰的進程為入侵檢測目的設置 導火線 記錄各個用戶使用的命令 ...
2019-03-08 14:09 0 1143 推薦指數:
相關推薦
linux audit審計(5)--audit規則配置
audit可以配置規則,這個規則主要是給內核模塊下發的,內核audit模塊會按照這個規則獲取審計信息,發送給auditd來記錄日志。 規則類型可分為: 1、控制規則:控制audit系統的規則; 2、文件系統規則:也可以認為是文件監控,可以監控一個特定文件或者一個路徑。 3、系統 ...
linux audit審計(8)--開啟audit對系統性能的影響
我們使用測試性能的工具,unixbench,它有一下幾項測試項目: 測試結果類似如下: 測試了/boot/grub2/grub.cfg 中audit=0,和去除audit=0,以及開啟auditd服務等的性能數據: 1、內核參數去掉audit=0,auditd服務 ...
linux audit審計(6)--audit永久生效的規則配置
定義reboot系統后,仍然生效的審計規則,有兩種辦法: 1、直接寫入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules 2、將規則文件放入到/etc ...
linux audit審計(2)--audit啟動
參考:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls 1、啟動audit內核模塊 ...
linux的審計功能(audit)
為了滿足這樣的需求:記錄文件變化、記錄用戶對文件的讀寫,甚至記錄系統調用,文件變化通知。什么是auditThe Linux Audit Subsystem is a system to Collect information regarding events occurring ...
linux audit審計讀懂audit日志
讓我們先來構造一條audit日志。在home目錄下新建一個目錄,然后配置一條audit規則,對這個目錄的wrax,都記錄審計日志: root用戶訪問audit_test目錄時,即在這個目錄下ls,審計日志如下: type=SYSCALL msg=audit ...
linux audit審計(7-1)--讀懂audit日志
auid=0 auid記錄Audit user ID,that is the loginuid。當我使用lbh用戶登錄系統時,再訪問audit_test,此時記錄的auid為1001,具體日志如下: auid為登錄用戶的ID,如果是root,ID為0。並且解釋 ...