Tag: audit安全审计

一、用户空间审计系统简介 Linux 内核有用日志记录事件的能力，包括记录系统调用和文件访问。管理员可以检查这些日志，确定是否存在安全漏洞（如多次失败的登录尝试，或者用户对系统文件不成功的访问）。 Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明： auditctl：即时控制审计守护进程的行为的工具，如添加规则等。 auditd：audit 守护进程负责把内核产生的信息写入到硬盘上，这些信息由应用程序和系统活动触发产生。用户空间审计系统通过 auditd 后台进程接收内核审计系统传送来的审计信息，将信息写入到 /var/log/audit/audit.log。 aureport：查看和生成审计报告的工具。 ausearch：查找审计事件的工具 auditspd：转发事件通知给其他应用程序，而不是写入到审计日志文件中。 autrace：一个用于跟踪进程的命令。 audit和syslog日志系统的关系 audit 主要用来记录安全信息，用于对系统安全事件的追溯，而 syslog 用来记录系统信息，如硬件警报和软件日志等。syslog 属于应用层，没办法记录太多信息，audit 用来记录内核信息，包括文件的读写，权限的改变等。 二、auditd配置文件 vi /etc/audit/auditd.conf # 是否记录本地事件，如果设为no，只记录来自网络的事件 local_events = yes write_logs = yes # 日志文件 log_file = /var/log/audit/audit.log log_group = root log_format = RAW # 日志文件刷新方式，可选的选项有： # NONE：不做特别处理 # INCREMENTAL：用freq选项的值确定多长时间发生一次向磁盘的刷新 #…