一 概述
1 审计的定义
基于事先配置的规则生成日志,记录可能发生在系统上的事件
审计不会为系统提供安全保护,只是单纯的记录违反安全策略的行为
审计可以记录的日志内容包括以下几种:
- 日期与事件以及事件结果
- 触发事件的用户
- 所有认证机制的使用都可以被记录,例如ssh远程控制,samba nfs文件共享等
- 对关键数据文件的查看修改操作
2 审计的监控对象
- 监控文件访问
- 监控系统调用
- 记录用户运行的命令
- 监控网络访问
- 安装ausearch工具后,支持根据条件过滤审计日志和生成审计报告的功能
3 配置audit
3.1 安装软件包 启动软件 设置开机自启
yum -y install audit
systemctl start auditd
systemctl enable auditd
3.2 主配置文件
/etc/audit/auditd.conf
二 配置审计
1 auditctl命令
- auditctl -s 查询状态
- auditctl -l 查看规则
- auditctl -D 删除所有规则
- auditctl -w 自定义规则
2 定义临时规则
auditctl -w path -p permission -k key_name
- path为需要审计的文件或目录
- 权限可以是rwx,a(文件或目录的属性发生变化)
- key_name为可选项,方便识别哪些规则生成特定的日志项
3 定义永久规则
将临时规则写入配置文件/etc/audit/rules.d/audit.rules
三 审计日志
1 查看日志
tailf /var/log/audit/audit.log
aureport 对审计日志进行统计
2 日志选项
| 选项 | 释义 |
|---|---|
| type | 类型 |
| msg | 时间 |
| arch | 进制 |
| success | 事件是否成功 |
| a0-a3 | 程序调用时的前4个参数 |
| ppid | 父进程ID |
| auid | 审核用户的ID |
| common | 用户执行的指令 |
| exe | 实际程序的路径 |
| key | 管理员定义的策略 |
| type=CWD | 用来记录当前工作目录 |
| type=PATH -ouid | 对象所有者id |
| type=PATH -guid | 对象所属组id |