auditd审计
相关命令有: auditd, auditctl, ausearch, aureport
相关文件: /etc/audit/auditd.conf, /etc/audit/audit.rules, /var/log/audit/audit.log
主要有两种方法进行设置,一是直接使用命令auditctl, 二是在audit.rules里写跟踪监视规则
# auditctl -w /etc/passwd -p rwxa -k CFG_passwd
一般监视触发权限设为 - p wa就好, 额外的不必要的如rx, 会产生过多的审计记录
-k CFG_passwd, 设置审计规则的过滤器关键字,主要是用于ausearch -k key_string 好搜索,比如,有多个规则
去监视同一个文件或目录的时候,就可以根据-k key_string来过滤、唯一的定位要查看的规则产生的审计记录
-k key_string: ... typical use is for when you have several rules that together satisfy a security requirement
查看审计记录
可以直接查看/var/log/audit/audit.log
可以用命令 ausearch, 它 search audit records based on a certain option:
--event search based on event id
--comm ... command line name (comm=command)
-- exit ... syscall exit code
--file -f based on file name, this option is most commonly used.
# ausearch -f /etc/passwd的部分结果
----
time->Tue Oct 13 16:17:21 2015
type=PATH msg=audit(1444724241.720:1382): item=0 name="/etc/passwd" inode=16516438 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1444724241.720:1382): cwd="/root/Desktop"
type=SYSCALL msg=audit(1444724241.720:1382): arch=40000003 syscall=5 success=yes exit=3 a0=138ef8 a1=80000 a2=1b6 a3=138eb5 items=1 ppid=8010 pid=27369 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=142 comm="vi" exe="/bin/vi" key=(null)
----
每节分几个部分的内容:
time: 审计时间
type=path : 被监视、被审计文件的路径
type=cwd : 表示发生审计事件时,用户所处的当前路径
type=syscall: 系统调用,是哪个命令触发的审计事件,用户用的是哪个命令,
上面显示中,comm="vi"表示使用的是vi命令去编辑的/etc/passwd文件,exe="/bin/vi"表示vi的路径
aureport
生成审计报表,根据选项生成相应方面的报表信息
aureport -c : 关于配置方面的审计报表信息
-f, -m, -u, -l等等