介绍
Auditd工具可以帮助运维人员审计Linux。
安装
$ apt-get install auditd工具
auditd拥有一系列的工具
- /etc/audit/rules.d/audit.rules:包含审核规则的文件
- aureport:生成和查看审计规则的文件
- ausearch:是一个搜索各种事件的工具
- autrce:用于跟踪进程的命令
- /etc/audit/auditd.conf:审计工具的配置文件
使用
auditctl
$ auditctl -help查看帮助。
查看规则
$ auditctl -l审核文件
$ auditctl -w /etc/passwd -p rwxa运行之后就会对/etc/passwd文件进行监控。
各个参数:
-w:此参数将在路径中插入文件系统对象的监视
-p:此参数描述文件系统监视将触发的权限访问类型
rwxa:是绑定到上面的-p参数的属性。读取r,w写入,x是执行,a是属性
如果不想要继续监控下去,只需:
$ auditctl -W /etc/passwd审核目录
$ auditctl -w /data/ausearch
用来查看审核的日志。
例如:
$ ausearch -f /etc/passwd
...具体可以参考:https://linoxide.com/how-tos/...
aureport
$ aureport不加任何参数,将生成审计活动的摘要报告。
如果有出现验证失败,可以:
$ aureport -au如果想要查看于账户修改相关的所有事件,加上-m参数:
$ aureport -m审核配置文件
如果想要审核永久化的话,需要编辑/etc/audit/rules.d/audit.rules
然后重新加载配置文件:
$ augenrules --load或者重启服务:
$ systemctl restart auditd
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。