audit介绍
audit工具是Linux系统中负责审计的进程,可以用来记录Linux系统的一些操作,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,我们可以通过配置aidutd规则来对Linux服务器中发生的一些用户行为和用户操作进行监控。
相关命令
auditctl :可以用来添加、删除审计规则,查看审计规则等
aureport :可以查看审核报告
ausearch :用于搜索、查看事件的命令
autrace :用于追踪过程的命令
/etc/audit/audit.rules配置文件:这是配置审计规则的文件
/etc/audit/auditd.conf :是审计工具配置文件
在CentOS 7系统查看审计进程状态
一、对重要文件进行审计
查看审计进程策略列表,可以看到系统当前是没有审计策略的
aidutctl -l
测试一下,没有配置audit时查看文件审计事件是什么样子
用cat读取/etc/passwd文件
此时再次查看会发现,audit并不会对文件进行审计
修改/etc/passwd权限看看能否被审计,可以看到依然没有审计记录
为/etc/passwd添加审计策略并查看审计策略列表
使用命令:auditctl -w 路径/文件 -p 权限
-w:添加
-W:取消
权限分为rwxa,分别是读/写/执行/修改权限
查询审计列表使用auditctl -l
取消审计策略
下面添加审计策略然后对/etc/passwd文件进行操作,再看一下审计记录
此时系统便对/etc/passwd文件进行审计
记录的内容主要包括:时间、审核对象、当前目录、用户标识、命令、命令所属位置。而这条记录主要内容是2020年1月18日 周六 23:29:40 用户ID为0 组ID为0的用户使用/usr/bin/cat文件下的cat命令对/etc/passwd文件执行了cat操作
下面修改/etc/passwd文件的权限
在审计记录中可以找到相应操作记录
二、对目录进行审计
进入根目录创建test文件夹
为/test目录添加审计策略
进入test目录添加新文件1.txt
查看审计记录
放下翻看审计记录可以找创建文件的记录,说明对文件夹进行进行审计是可以成功的
只对文件夹添加审计规则,是可以查询到文件夹中文件的审计记录的
三、查看审计报表
ausearch
其中Number of failed logins: 6字段说明有6次失败登录,我们查看一下具体登录情况
这是下图中no就是失败登录的信息
*对文件添加审计策略时,不添加执行权限的话审计记录会更干净!