Centos8 使用auditd配置系統審計
本文介紹如何安裝、配置和管理審計服務。它還展示瞭如何定義審計規則、搜尋審計日誌和建立審計報告。
audit包預設安裝在 8中。如果未安裝,請使用以下 新增:
[root@localhost ~]# yum -y install audit
審計配置檔案
/etc/audit/auditd.conf。該檔案包含更改 auditd 守護程式行為的預設引數。
配置 auditd 後,啟動服務來收集審計資訊:
# service auditd start
使用 service 而不是 systemctl 的唯一原因是正確記錄使用者 ID (UID) 值。
設定開機啟動:
# systemctl enable auditd
使用 auditctl 工具,可以在你想要的任何系統呼叫上新增審計規則。規則會按順序執行。
下一步定義監視規則。此規則跟蹤檔案或目錄是否由某些型別的訪問觸發,包括讀取、寫入、執行和屬性更改。
定義規則的語法是:
auditctl -w path_to_file -p permissions -k key_name
如要稽核使用者建立操作,首先,向 /etc/passwd 檔案新增監視以跟蹤寫入和屬性更改訪問,並新增自定義鍵以記錄所有訊息(此自定義鍵可用於過濾日誌訊息):
[root@localhost ~]# auditctl -w /etc/passwd -p wa -k user-modify
接下來,新增一個新使用者。這樣做會更改 /etc/passwd 檔案:
[root@localhost ~]# useradd user01
最後,檢查 auditd 是否記錄了更改。預設情況下,auditd 將日誌儲存在
/var/log/audit/audit.log 檔案中:
[root@localhost ~]# cat /var/log/audit/audit.log | grep user-modify
要使audit規則在重新啟動後保持不變,請將它們新增到
/etc/audit/rules.d/audit.rules檔案中。
下面在 audit.rules 檔案中定義永續性規則以監視 /etc/passwd 檔案的更改。
-w /etc/passwd -p wa -k user-modify
儲存檔案,然後重新載入 auditd 守護程式以實現對規則檔案中配置的更改:
[root@localhost ~]# service auditd reload
可以執行
auditctl -l列出規則:
[root@localhost ~]# auditctl -l -w /etc/passwd -p wa -k user-modify
最後,新增新使用者或更改 /etc/passwd 檔案會出發審計。更改記錄在 /var/log/audit/audit.log 中,即使系統重新啟動,規則仍然存在。
使用
ausearch工具搜尋審計日誌。預設情況下,它搜尋 /var/log/audit/audit.log 檔案。
例如,要根據 key_name 搜尋日誌條目,搜尋有關
user-modify相關的:
[root@localhost ~]# ausearch -i -k user-modify
使用 aureport 工具根據審計日誌查詢和建立審計報告。
[root@localhost ~]# aureport
檢視關於嘗試身份驗證的報告:
[root@localhost ~]# aureport -au Authentication Report ============================================ # date time acct host term exe success event ============================================ 1. 11/10/2021 23:42:19 root localhost.localdomain tty1 /usr/bin/login yes 81 2. 11/10/2021 23:44:08 root 192.168.43.1 ssh /usr/sbin/sshd yes 111 3. 11/10/2021 23:54:31 root 192.168.43.1 ssh /usr/sbin/sshd yes 76 4. 11/11/2021 00:44:30 root 192.168.43.1 ssh /usr/sbin/sshd yes 81 5. 11/11/2021 00:58:41 root 192.168.43.1 ssh /usr/sbin/sshd yes 131 6. 11/11/2021 01:13:12 root 192.168.43.1 ssh /usr/sbin/sshd no 156
其中
no代表驗證失敗。
yes代表驗證成功。
在本文中學習瞭如何使用auditctl 臨時定義auditd 規則,並在audit.rules 檔案中永久定義。最後分別使用 ausearch 和 aureport 命令搜尋了審計日誌並生成了審計報告。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69901823/viewspace-2843334/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- RHEL審計配置/etc/audit/auditd.conf
- 【轉】webshell檢測——使用auditd進行system呼叫審計Webshell
- Centos8 中安裝 Lynis審計工具CentOS
- Seay原始碼審計系統的配置和安裝原始碼
- 運維審計系統運維
- 日誌審計系統
- 如何在 Centos8 中安裝 Lynis審計工具CentOS
- MySQL資料庫審計系統MySql資料庫
- MySQL5.7審計功能windows系統MySqlWindows
- oracle 11g 系統審計功能Oracle
- CentOS8檢視系統版本CentOS
- centos8 Iptables配置CentOS
- 審計系統的一劑良方——事件溯源事件
- mysql 系統審計日誌格式說明:MySql
- 資訊系統應具備審計功能
- Audit裡審計SQL語句與審計系統許可權的區別SQL
- Centos8中使用VSFTPD配置FTPsCentOSFTP
- 程式碼審計系統 Swallow 開發回顧
- Oracle使用系統級觸發器審計重要帳號的DDL語句Oracle觸發器
- 審計系統和資訊(報表)系統是業務系統的有機組成部分
- 【AUDIT]Oracle審計配置及常用sqlOracleSQL
- 開原始碼審計系統 Swallow 內測釋出原始碼
- laravel配置系統使用問題Laravel
- 網路配置審計比以往更重要
- 明辰智航釋出流量分析審計系統
- 沒有審計系統就沒有資料庫安全資料庫
- VM安裝配置centos8教程CentOS
- Centos8 stream系統編譯安裝Apache教程。CentOS編譯Apache
- Centos8 stream系統編譯安裝PHP教程。CentOS編譯PHP
- Centos8 stream系統編譯安裝Docker教程。CentOS編譯Docker
- Centos8 stream系統編譯安裝Memcached教程。CentOS編譯
- Centos8 stream系統編譯安裝Redis教程。CentOS編譯Redis
- opatch 在windows系統中使用配置Windows
- 審計DBA使用者操作
- 對自助提卡系統的一次程式碼審計
- 淺析Linux系統帳戶的管理和審計(轉)Linux
- Centos8 stream系統編譯安裝phpMyAdmin教程。CentOS編譯PHP
- Centos8 stream系統編譯安裝Tomcat教程。CentOS編譯Tomcat