audit介绍

audit工具是Linux系统中负责审计的进程,可以用来记录Linux系统的一些操作,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,我们可以通过配置aidutd规则来对Linux服务器中发生的一些用户行为和用户操作进行监控。

 

相关命令

auditctl :可以用来添加、删除审计规则,查看审计规则等
aureport :可以查看审核报告
ausearch :用于搜索、查看事件的命令
autrace :用于追踪过程的命令

/etc/audit/audit.rules配置文件:这是配置审计规则的文件
/etc/audit/auditd.conf :是审计工具配置文件

在CentOS 7系统查看审计进程状态

centos 审计管理员 linux审计功能audit_配置文件

 

 一、对重要文件进行审计

查看审计进程策略列表,可以看到系统当前是没有审计策略的

aidutctl -l

centos 审计管理员 linux审计功能audit_x系统_02

 

 

测试一下,没有配置audit时查看文件审计事件是什么样子

centos 审计管理员 linux审计功能audit_配置文件_03

 

 用cat读取/etc/passwd文件

centos 审计管理员 linux审计功能audit_配置文件_04

 

 此时再次查看会发现,audit并不会对文件进行审计

centos 审计管理员 linux审计功能audit_配置文件_05

 

 修改/etc/passwd权限看看能否被审计,可以看到依然没有审计记录

 

centos 审计管理员 linux审计功能audit_创建文件_06

 

 为/etc/passwd添加审计策略并查看审计策略列表

 

centos 审计管理员 linux审计功能audit_配置文件_07

  使用命令:auditctl -w 路径/文件 -p 权限

 -w:添加

 -W:取消

 权限分为rwxa,分别是读/写/执行/修改权限

 查询审计列表使用auditctl -l

 

 取消审计策略

 

centos 审计管理员 linux审计功能audit_配置文件_08

 

下面添加审计策略然后对/etc/passwd文件进行操作,再看一下审计记录

centos 审计管理员 linux审计功能audit_创建文件_09

 

  此时系统便对/etc/passwd文件进行审计

centos 审计管理员 linux审计功能audit_配置文件_10

 

 

记录的内容主要包括:时间、审核对象、当前目录、用户标识、命令、命令所属位置。而这条记录主要内容是2020年1月18日 周六 23:29:40 用户ID为0 组ID为0的用户使用/usr/bin/cat文件下的cat命令对/etc/passwd文件执行了cat操作

 

下面修改/etc/passwd文件的权限

centos 审计管理员 linux审计功能audit_配置文件_11

 

 在审计记录中可以找到相应操作记录

centos 审计管理员 linux审计功能audit_配置文件_12

 

 二、对目录进行审计

进入根目录创建test文件夹

centos 审计管理员 linux审计功能audit_centos 审计管理员_13

 

 

为/test目录添加审计策略

centos 审计管理员 linux审计功能audit_centos 审计管理员_14

 

 进入test目录添加新文件1.txt

查看审计记录

centos 审计管理员 linux审计功能audit_x系统_15

 

 放下翻看审计记录可以找创建文件的记录,说明对文件夹进行进行审计是可以成功的

centos 审计管理员 linux审计功能audit_创建文件_16

 

 只对文件夹添加审计规则,是可以查询到文件夹中文件的审计记录的

centos 审计管理员 linux审计功能audit_配置文件_17

 

三、查看审计报表

ausearch

centos 审计管理员 linux审计功能audit_centos 审计管理员_18

 

 

centos 审计管理员 linux审计功能audit_配置文件_19

 

 

 其中Number of failed logins: 6字段说明有6次失败登录,我们查看一下具体登录情况

centos 审计管理员 linux审计功能audit_创建文件_20

 

 

 这是下图中no就是失败登录的信息

 

centos 审计管理员 linux审计功能audit_配置文件_21

 

 

 

*对文件添加审计策略时,不添加执行权限的话审计记录会更干净!

centos 审计管理员 linux审计功能audit_配置文件_22