linux 審計工具 auditd 命令
2023年10月14日 20:57:01
auditd 審計工具 ,常用來對檔案修改進行監聽,如 監聽那個程序修改了 .ssh/authorized_keys
這個工具在大多數linux作業系統中是預設安裝的。centos 預設安裝。ubuntu 安裝:apt-get install auditd。
auditctl : 即時控制審計守護程序的行為的工具,比如新增規則等等。例項:/etc/audit/audit.rules : 記錄審計規則的檔案。
aureport : 檢視和生成審計報告的工具。
ausearch : 查詢審計事件的工具
auditspd : **事件通知給其他應用程式,而不是寫入到審計日誌檔案中。
autrace : 乙個用於跟蹤程序的命令。
/etc/audit/auditd.conf : auditd工具的配置檔案。
#檢視審計規則
#auditctl -l
#新增審計規則
#-w path : 指定要監控的路徑,上面的命令指定了監控的檔案路徑 /etc/passwd
#-p : 指定觸發審計的檔案/目錄的訪問許可權
#-k 給當前這條監控規則起個名字,方便搜尋過濾
#rwxa : 指定的觸發條件,r 讀取許可權,w 寫入許可權,x 執行許可權,a 屬性(attr)
#auditctl -w /etc/passwd -p rwxa
#檢視審計日誌
#ausearch -f /etc/passwd
#生成簡要報告
#aureport
/var/log/audit/audit.log
注意:用 auditd 新增審計規則是臨時的,立即生效,但是系統重啟失效。重啟仍然有效,需要在 /etc/audit/audit.rules 檔案中新增規則,然後重啟服務:
service auditd restart 或者 service auditd reload
auditd審計syscall操作
1.linux核心需要開啟config audit和config auditsyscall選項,系統啟動時會執行核心任務kauditd 2.使用者態通過安裝auditd安裝包,啟動auditd服務來接收核心模組的審計日誌資訊,記錄到 var log audit audit.log檔案中 audit可...
Lynis 安全審計工具
筆記 常用命令 安裝i git clone cd lynis lynis audit system 執行 安裝ii yum enablerepo epel y install lynis 常用命令 lynis h 幫助 lynis show version 檢視版本號 lynis show comm...
Linux系統安全審計工具Lynis
lynis是一款開源的系統安全審計功能工具,該工具由一系列的shell指令碼構成 系統進行全面安全檢查的工具,可以發現系統 賬戶 程序等多個層面所存在的安全風險,並以直觀的方式逐一列出,支援目前主流的linux平台。一 lynis檢查專案大致如下 系統程式是否被置換或篡改,避免管理者或使用者執行惡意...