Tag: audit安全审计

  • 等保测评中主机安全部分关于操作系统审计audit的相关命令

    等保测评中主机安全部分关于操作系统审计audit的相关命令

    一、用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。 Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明: auditctl:即时控制审计守护进程的行为的工具,如添加规则等。 auditd:audit 守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。用户空间审计系统通过 auditd 后台进程接收内核审计系统传送来的审计信息,将信息写入到 /var/log/audit/audit.log。 aureport:查看和生成审计报告的工具。 ausearch:查找审计事件的工具 auditspd:转发事件通知给其他应用程序,而不是写入到审计日志文件中。 autrace:一个用于跟踪进程的命令。 audit和syslog日志系统的关系 audit 主要用来记录安全信息,用于对系统安全事件的追溯,而 syslog 用来记录系统信息,如硬件警报和软件日志等。syslog 属于应用层,没办法记录太多信息,audit 用来记录内核信息,包括文件的读写,权限的改变等。 二、auditd配置文件 vi /etc/audit/auditd.conf # 是否记录本地事件,如果设为no,只记录来自网络的事件 local_events = yes write_logs = yes # 日志文件 log_file = /var/log/audit/audit.log log_group = root log_format = RAW # 日志文件刷新方式,可选的选项有: # NONE:不做特别处理 # INCREMENTAL:用freq选项的值确定多长时间发生一次向磁盘的刷新 #…