linux审计

(1)

history查看一下最近的操作

(2)

last看一下系统状态

http://blog.csdn.net/chaofanwei/article/details/11826567

crash 意味着你的系统halt或者reboot 的时候,系统在syslog给出的标记是crash

http://os.51cto.com/art/201402/430091.htm

(3)

/var/log/message 查看

Lynis扫描系统的配置,并创建概述系统信息与安全问题所使用的专业审计。

http://helloeveryone.blog.51cto.com/6171143/1371603

linux审计

时间: 2024-10-28 16:34:47

linux审计的相关文章

关于LINUX审计服务Auditd systemctl重启的问题

在RHEL7&&CENTOS7时代,默认的服务通过systemd控制,并通过systemctl命令完成启停.但是并不是所有的服务都可以完美的通过systemctl来控制,比如今天要提到的Auditd 编辑audit.rules添加规则后,当然要通过restart服务来重启生效,但是通过  systemctl restart auditd 就会报如下错误: [[email protected]]#  systemctl restart auditd Failed to restart aud

在 Linux 上用 SELinux 或 AppArmor 实现强制访问控制(MAC)

为了解决标准的“用户-组-其他/读-写-执行”权限以及访问控制列表的限制以及加强安全机制,美国国家安全局(NSA)设计出一个灵活的强制访问控制Mandatory Access Control(MAC)方法 SELinux(Security Enhanced Linux 的缩写),来限制标准的权限之外的种种权限,在仍然允许对这个控制模型后续修改的情况下,让进程尽可能以最小权限访问或在系统对象(如文件,文件夹,网络端口等)上执行其他操作. 另一个流行并且被广泛使用的 MAC 是 AppArmor,相

Linux -- SELinux相关问题解决办法

一.如何解决SELinux问题? 说起SELinux,多数Linux发行版缺省都激活了它,可见它对系统安全的重要性,可惜由于它本身有一定的复杂性,如果不熟悉的话往往会产生一些看似莫名其妙的问题,导致人们常常放弃使用它,为了不因噎废食,学学如何解决SELinux问题是很有必要的. 我们以CentOS环境为例重现一个非常常见的SELinux问题: 首先需要确认SELinux处于激活状态,可以使用getenforce或sestatus命令: shell> getenforce  Enforcing  

【转】webshell检测——使用auditd进行system调用审计

本文档将介绍:如何通过Linux审计系统auditd监测WebShell执行系统命令的行为. 测试环境:CentOS7.0_x64 auditd简介 Linux审计系统提供了一种跟踪系统上与安全相关的信息的方法.基于预先配置的规则,审核生成日志条目以记录尽可能多的关于系统上发生的事件信息. auditd(或auditd守护进程)是Linux系统中重要的内核审计组件,其负责将审计记录写入磁盘.使用auditd可以实现如下场景的审计监控: ? 监控文件访问 ? 监控系统调用 ? 记录用户命令执行 ?

利用auditbeat采集系统审计日志并生成图像

一.背景 Auditbeat是轻量型的审计日志采集器,可以收集linux审计框架的数据.监控文件完整性.能够组合相关消息到一个事件里,生成标标准的结构化数据,方便分析,而且能够与Logstash.Elasticsearch和Kibana无缝集成. 二.安装 wget https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-6.5.4-linux-x86_64.tar.gz tar zxf auditbeat-6.5.4-l

Beats Elastic中的Auditbeat使用介绍

Auditbeat使用介绍 Auditbeat是一种轻量级的数据收集器,您可以将其安装在服务器上,以审核系统上用户和进程的活动. 例如,您可以使用Auditbeat从Linux Audit Framework收集和集中审核事件. 您还可以使用Auditbeat来检测对关键文件(如二进制文件和配置文件)的更改,并确定潜在的安全策略冲突.Auditbeat是一种Elastic Beat. 它基于libbeat框架. 为了能够使用Auditbeat,必须安装Elasticsearch及Kibana.

nginx反向代理502-Bad Gateway问题解决方法

用nginx反向代理 localhost:80 域名到服务器 localhost:8080 端口服务时,访问出现502 bad gateway原因分析:1.查看8080端口服务启动2.查看错误日志:error.log,以centos7.x为例,更改配置路径为:web.dev.xxx.access.ssl.log:xxx - - [22/Oct/2019:10:24:04 +0800] "GET /test HTTP/1.1" 502 3693 "-" "c

linux日志审计项目案例实战(生产环境日志审计项目解决方案)

所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或者录像) 推荐方法:sudo配合syslog服务,进行日志审计(信息较少,效果不错) 1.安装sudo命令.syslog服务(centos6.4或以上为rsyslog服务) [[email protected]_back ~]#rpm -qa "sudo|syslog"   查询系统是否已安装sudo.syslog程序 rsyslog-5.8.10-8.el6.x86_64 sudo-1.8.6

linux日志审计2

http://www.cnblogs.com/ahuo/archive/2012/08/24/2653905.html http://people.redhat.com/sgrubb/audit/ (1)audit sudo apt-get install auditd syslog会记录系统状态(硬件警告.软件的log), 但syslog属于应用层, log归咎与软件, 并不会记录所有动作. 于是audit来记录更多信息. (2) inotify. inotify 是文件系统事件监控机制,是细