Auditd-Linux安全审计工具

介绍

Auditd工具可以帮助运维人员审计Linux。

安装

$ apt-get install auditd

工具

auditd拥有一系列的工具

  • /etc/audit/rules.d/audit.rules:包含审核规则的文件
  • aureport:生成和查看审计规则的文件
  • ausearch:是一个搜索各种事件的工具
  • autrce:用于跟踪进程的命令
  • /etc/audit/auditd.conf:审计工具的配置文件

使用

auditctl

$ auditctl -help

查看帮助。

查看规则

$ auditctl -l

审核文件

$ auditctl -w /etc/passwd -p rwxa

运行之后就会对/etc/passwd文件进行监控。
各个参数:

-w:此参数将在路径中插入文件系统对象的监视
-p:此参数描述文件系统监视将触发的权限访问类型
rwxa:是绑定到上面的-p参数的属性。读取r,w写入,x是执行,a是属性

如果不想要继续监控下去,只需:

$ auditctl -W /etc/passwd

审核目录

$ auditctl -w /data/

ausearch

用来查看审核的日志。
例如:

$ ausearch -f /etc/passwd
...

具体可以参考:https://linoxide.com/how-tos/...

aureport

$ aureport

不加任何参数,将生成审计活动的摘要报告。
如果有出现验证失败,可以:

$ aureport -au

如果想要查看于账户修改相关的所有事件,加上-m参数:

$ aureport -m

审核配置文件

如果想要审核永久化的话,需要编辑/etc/audit/rules.d/audit.rules

clipboard.png

然后重新加载配置文件:

$ augenrules --load

或者重启服务:

$ systemctl restart auditd

参考来源

https://linoxide.com/how-tos/...

阅读 3.3k

推荐阅读