设为首页收藏本站
开启辅助访问

[内容] auditd 使用 (监控文件或目录的变化) – Eternal Center

 您所在的位置:网站首页 auditd 日志 [内容] auditd 使用 (监控文件或目录的变化) – Eternal Center

[内容] auditd 使用 (监控文件或目录的变化) – Eternal Center

#[内容] auditd 使用 (监控文件或目录的变化) – Eternal Center| 来源: 网络整理| 查看: 265

内容一:auditd 的管理 1.1 启动 auditd 1.1.1 启动 auditd # service auditd restart 1.1.2 查看 auditd 状态 # auditctl -s 1.1.3 设置 AUDITD 开机自启 # chkconfig auditd on 1.1.4 查看 auditd 开机自启状态 # chkconfig --list auditd 1.2 查看 auditd 的规则 # auditctl -l 1.3 删除 autitd 的规则 1.3.1 删除 auditd 的所有规则 # auditctl -D 1.3.2 删除 auditd 的普通规则 (以 -w 开头的规则) # auditctl -W 1.3.3 删除 auditd 的使用系统调用和过滤条件的监控规则 (以 -a 开头的规则) # auditctl -d 1.4 显示 auditd 日志 1.4.1 显示 auditd 的所有日志 # cat /var/log/audit/audit.log 1.4.2 显示某文件或目录的日志 # ausearch -f 1.4.3 显示某关键词的日志 # ausearch -k 1.5 生成 auditd 日志报告 # aureport -k 内容二:auditd 的规则 2.1 普通监控规则 2.1.1 普通监控规则的格式 2.1.1.1 普通监控规则的格式 -w -p -k

(补充:1) 文件名或目录名,需要绝对路径2) 监控的权限,可以是 rwxa 其中的任意 1 个或多个,r 代表读权限、w 代表写权限,x 代表执行权限,a 代表文件类型3) 此类日志的关键词)

2.1.1.2 添加普通监控规则的格式 2.1.1.2.1 临时添加普通监控规则的格式 # auditctl -w -p -k 2.1.1.2.2 永久添加普通监控规则的格式 # vim /etc/audit/audit.rules

添加以下内容:

...... -w -p -k

(注意:永久添加的规则后要重启 auditd 服务后才会生效

# service auditd restart

2.1.2 添加普通监控规则的案例 2.1.2.1 案例一:添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化的规则 # auditctl -w /etc/nginx/nginx.conf

(补充:这里以临时添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化的规则为例)

2.1.2.2 案例二:添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化,并设置关键词为 nginx 的规则 # auditctl -w /etc/nginx/nginx.conf -p rwxa -k 'nginx'

(补充:这里以临时添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化,并设置关键词为 nginx 的规则为例)

2.2 使用系统调用和过滤条件的监控规则 2.2.1 使用系统调用和过滤条件的监控规则的格式 2.2.1.1 使用系统调用和过滤条件的监控规则的格式 -a , -S -F = -k

(补充:1) 和 用于确定事件被记录, 的值可以是 always 或者 never, 的值可以是 task、exit、user 或者 exclude2) 是系统调用,Linux 系统调用的名称在 /usr/include/asm/unistd_64.h 文件中,可以将多个系统调用放在一个规则里,例:-S -S ……,或者 -S ,……3) 和 是过略条件,可以将多个过略条件放在一个规则里,-F = -F = ……4) 是此类日志的关键词)

2.2.1.2 添加使用系统调用和过滤条件的监控规则的格式 2.2.1.2.1 临时添加使用系统调用和过滤条件的监控规则的格式 # auditctl -a , -S -F = -k 2.2.1.2.2 永久添加使用系统调用和过滤条件的监控规则的格式 # vim /etc/audit/audit.rules

添加以下内容:

...... -a , -S -F = -k

(注意:永久添加的规则后要重启 auditd 服务后才会生效

# service auditd restart

2.2.2 使用系统调用和过滤条件的监控规则的案例 2.2.2.1 案例一:监控所有 UID 大于 1000 的用户的删除操作,并设置关键词为 delete # auditctl -a always,exit -S rmdir -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=unset -F auid!=4294967295 -k delete

(补充:这里以临时监控所有 UID 大于 1000 的用户删除操作为例)

(注意:这里的 -F auid!=4294967295 是为了排除 login UID 没有被设置的用户)

2.2.2.2 案例二:监控所有 UID 大于 1000 的用户的文件删除操作,并设置关键词为 delete # auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=unset -F auid!=4294967295 -k delete

(补充:这里以临时监控所有 UID 大于 1000 的用户删除操作为例)

(注意:这里的 -F auid!=4294967295 是为了排除 login UID 没有被设置的用户)

2.2.2.3 案例三:监控所有网络连接 # auditctl -a always,exit -F arch=b64 -S socket # auditctl -a always,exit -F arch=b64 -S connect # auditctl -a always,exit -F arch=b64 -S sendmmsg # auditctl -a always,exit -F arch=b64 -S sendmsg # auditctl -a always,exit -F arch=b64 -S bind # auditctl -a always,exit -F arch=b64 -S recvmsg # auditctl -a always,exit -F arch=b64 -S close

(补充:这里以监控所有网络连接为例)



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3