什么是系统的审计?

审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。auditd(或 auditd 守护进程)是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。

审计能够记录日志的内容

  1. 日期与事件以及事件的结果
  2. 触发事件的用户
  3. 所有认证机制的使用都可以被记录,如ssh等
  4. 对关键数据文件的修改行为等都可以被记录

使用auditd做系统的审计

  • 使用audit监控/etc/ssh/sshd_config
  • 当该文件发生任何变化即记录日志
  • 通过手动和ausearch工具查看日志内容

配置audit审计系统:

yum -y install audit
systemctl start auditd
 cat /etc/audit/auditd.conf |grep log_file          #查看配置文件,确定日志位置
    log_file = /var/log/audit/audit.log               #日志文件路径

审计规则:

[root@proxy ~]# auditctl  -s                     #查询状态
[root@proxy ~]# auditctl  -l                      #查看规则
[root@proxy ~]# auditctl  -D                    #删除所有规则

定义临时文件系统规则:

语法格式

auditctl -w path -p permission -k key_name

path(路径)

为需要审计的文件或目录

permission(权限)

权限可以是r,w,x,a(文件或目录的属性发生变化)

key_name(别名)

方便识别哪些规则生成特定的日志项

1、设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志

auditctl -w  /etc/passwd  -p wa  -k  passwd_change

2、设置规则,监控/etc/selinux目录

auditctl -w  /etc/selinux/  -p wa  -k  selinux_change

3、设置规则,监控fdisk程序

auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition

4、设置规则,监控sshd_conf文件

auditctl  -w  /etc/ssh/sshd_conf  -p warx  -k  sshd_config

设置永久文件系统规则

/etc/audit/rules.d/audit.rules          #写audit的规则
ausearch -m    #按消息类型查找
ausearch -ul   #按登陆ID查找
ausearch -ua   #按uid和euid查找
ausearch -ui   #按uid查找
ausearch -ue   #按euid查找
ausearch -ga   #按gid和egid查找
ausearch -gi   #按gid查找
ausearch -ge   #按egid查找
ausearch -c    #按cmd查找
ausearch -x    #按exe查找
ausearch -sc   #按syscall查找
ausearch -p    #按pid查找
ausearch -sv   #按syscall的返回值查找(yes/no)
ausearch -f    #按文件名查找
ausearch -tm   #按连接终端查找(term/ssh/tty)
ausearch -hn   #按主机名查找
ausearch -k    #按特定的key值查找
ausearch -w    #按在audit rule设定的字符串查找

ausearch -f /etc/passwd

 

显示成功事件

Linux系统审计_记录日志

 

 生成9:00~18:00这段时间内的报表

aureport -ts 9:00-te 18:00-f