linux audit 安全審計功能

今天系統中遇到rc.local被人刪除掉的問題，從同事那裡得知一工具可以監控檔案被刪除或修改是被誰和哪條指令修改的，就是audit，總結了一下，尤其是注意事項，希望後續可以省掉一些問題定位時間。

linux安全審計功能 audit詳解

動機我們知道在linux系統中有大量的日誌檔案可以用於檢視應用程式的各種資訊，但是對於使用者的操作行為（如某使用者修改刪除了某檔案）卻無法通過這些日誌檔案來檢視，如果我們想實現監管企業員工的操作行為就需要開啟審計功能，也就是audit

啟動service auditd start

注意事項

1. 保證/etc/audit/auditd.conf 許可權為644，不能過高

2. 修復/etc/audit/auditd.conf中從/dev/null修改為log_file=/var/log/audit/audit.log

3. 保證/sbin/audispd 許可權為0755，或0750

4. 執行重啟service auditd restart，若再失敗，systemctl status auditd檢視報錯

配置vim /etc/audit/rules.d/audit.rules

追加類似如下內容:

-a always,exit -f path=/usr/lib64/libfuse.so.2 -f perm=warx -f key=keyword-for-filter-log

-a always,exit -f path=/usr/lib64/libfuse.so.2.9.3 -f perm=warx -f key=keyword-for-filter-log

-a always,exit -f path=/usr/lib64/libfuse.so.2.9.2 -f perm=warx -f key=keyword-for-filter-log

-a always,exit -f path=/etc/rc.local -f perm=warx -f key=keyword-for-rc-local

-a always,exit -f path=/etc/rc.d/rc.local -f perm=warx -f key=keyword-for-rc-local

-f代表監控這個檔案在什麼操作下觸發時記錄日誌

修改配置規則後，重啟auditd，讓其生效

service auditd restart

(由於其他配置原因，該服務無法由systemctl 啟動或關閉，僅能使用service)

參考：生效方式 auditctl –l檢視 audit可以自定義對指定的檔案或命令進行審計（如監視rm命令被執行、/etc/passwd檔案內容被改變），只要配置好對應規則即可，配置規則可以通過命令列（臨時生效）或者編輯配置檔案（永久生效）兩種方式來實現日誌中怎樣檢視閱讀方式: grep 配置檔案中寫的keyword

cat /var/log/audit/audit.log| grep keyword-for-rc-local

ausearch

linux audit 安全審計功能

安全審計安全審計產品作用

設定IDS安全審計

域6安全審計

linux audit 安全審計功能

安全審計 安全審計產品 作用

設定IDS安全審計

域6安全審計

相關推薦

安全審計安全審計產品作用