4步教你学会使用Linux-Audit工具

Posted 华为云开发者联盟

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了4步教你学会使用Linux-Audit工具相关的知识,希望对你有一定的参考价值。

摘要:简单来讲audit是Linux上的审计工具,可以用来记录和监控对文件、目录、系统资源的更改;Audit无法直接增强系统的安全性,但是它可以用于发现违反系统安全政策的行为。

本文分享自华为云社区《Linux-Audit工具使用简介》,作者: 云存储开发者支持团队。

简单来讲audit是Linux上的审计工具,可以用来记录和监控对文件、目录、系统资源的更改;Audit无法直接增强系统的安全性,但是它可以用于发现违反系统安全政策的行为。

1. 查看audit服务是否起来

查看状态:systemctl status auditd.service
开启auditd服务:service auditd start
重启服务:service auditd restart / service auditd reload

2. 配置需要监控的目录

auditctl -w /var/crash/coredump

  • -w path : 指定要监控的路径,上面的命令指定了监控的文件路径 var/crash/coredump
  • -p : 指定触发审计的文件/目录的访问权限
  • rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

配置方法A

配置方法B (A方法失败)

上述回显异常,需在audit规则内配置监控项。

查看规则:auditctl –l(若查询不到,请重启节点-reboot)

3.查看日志

到/var/log/audit目录下面。 敲这个命令行就可以:grep -rn 搜索的字符串*

grep -rn core*

4.日志解析

/var/crash/coredump 目录下创建了 test 文件。时间:2021-01-16 17:10:44

/var/crash/coredump 目录下删除了 test 文件。时间:2021-01-16 17:12:23

audit已经提供了一个更好的事件查看工具——ausearch,使用auserach -h查看下该命令的用法。

日志参数解读参考:Linux中audit日志的使用方法_远行的风的博客-CSDN博客_audit.log

附录

  • 查看auditctl命令使用规则:auditctl –h
  • 查看定义的规则:auditctl –l
  • 清空定义的规则:auditctl -D

CWD类型:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/sec-audit_record_types

时间戳转换工具:http://tool.chinaz.com/Tools/unixtime.aspx

点击关注,第一时间了解华为云新鲜技术~

以上是关于4步教你学会使用Linux-Audit工具的主要内容,如果未能解决你的问题,请参考以下文章

「短小精悍」4步教你学会如何DDOS攻击与防护

4步教你做一个煤气安全提示神器

02~ 一步一步教你使用 SVN之SVN 的介绍

一步一步教你 https 抓包

3步教你把个人应用服务部署到云服务器ECS上

简单4步教你用在线表格设计用户调研收集表