CentOS 系统审计(Audit)入门指南

admin 2024年10月10日20:57:22评论25 views字数 2285阅读7分37秒阅读模式
Audit(审计)在 CentOS 系统中是一个用于监控和记录系统上各种操作的技术手段。Audit 的主要功能是为系统管理员提供一个跟踪系统上与安全相关信息的方法。根据预配置的规则,Audit 会生成日志条目,以尽可能多地记录系统上所发生的事件的相关信息。Audit 可以记录系统上的各种活动,包括文件访问、用户登录、进程启动等,帮助管理员了解系统上的安全状况,发现潜在的安全威胁。

1. 如何安装

在 CentOS 系统中,Audit 功能默认安装。若未安装,可以通过 yum 包管理器进行安装。步骤如下:
yum -y install audit
安装完成后,可以通过以下命令验证安装是否成功:
rpm -q audit

CentOS 系统审计(Audit)入门指南

2. 获取帮助命令

对于 Audit 相关的命令,可以在红帽官网查看具体说明:
(https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/6/html/security_guide/chap-system_auditing)

3 启动和停止 Audit 服务

审计守护程序必须由 service 命令来控制,因此服务启停建议使用 service 而不是 systemctl。
启动 Audit 服务:
service auditd start
停止 Audit 服务:
service auditd stop
设置开机自启动:
systemctl enable auditd
查看 Audit 服务状态:
systemctl status auditd

CentOS 系统审计(Audit)入门指南

4. Audit 语法基础

Audit 功能在 CentOS 系统中通过一系列命令和配置文件来管理和使用。以下是 Audit 命令的一些基本语法和常见选项:
auditctl:用于添加、修改、删除和列出审计规则。
ausearch:用于搜索审计日志。
aureport:用于生成审计报告。
auditd:Audit 守护进程,负责监听和记录审计事件。

5. auditctl 命令常见选项

-w:监视指定的文件或目录。
-p:监视指定权限(r/w/x/a)变化。
-k:为规则设置一个关键字,方便后续搜索和过滤日志。
-a:添加一条规则,用于监视特定的系统调用或事件。
-D:删除所有规则。
-l:列出当前所有的审计规则。
示例:
监视文件:
auditctl -w /var/run/faillock -p wa -k LOGINF #监视 `/var/run/faillock` 文件的写和属性更改,并将事件添加 `LOGINF` 关键字
监控系统调用:
auditctl -a always,exit -F path=/etc/shadow -F perm=wa #监控对 `/etc/shadow` 文件的写操作和属性更改操作
注意:auditctl 命令添加的规则是临时的,它们仅在 auditd 服务当前运行期间有效。如果需要重启后仍生效,编辑 /etc/audit/rules.d/audit.rules 文件,例如:
-w /var/run/faillock -p wa -k LOGINF
添加完成后,重新加载配置:
service auditd reload

CentOS 系统审计(Audit)入门指南

CentOS 系统审计(Audit)入门指南

6. 默认审计日志路径及存储修改

Audit 日志的默认路径是 /var/log/audit/audit.log。这个路径可以在 Audit 的配置文件 /etc/audit/auditd.conf 中进行修改。
示例:
修改日志文件路径:
编辑 /etc/audit/auditd.conf 文件,找到 log_file 选项,并将其值更改为新的路径:
log_file = /new/path/to/audit.log
修改日志存储大小:
在配置文件中,找到 max_log_file 和 max_log_file_action 这两个选项。
max_log_file:设置单个审计日志文件的最大大小(以 MB 为单位)。
max_log_file_action:当日志文件达到最大大小时采取的动作。
    ROTATE:创建一个新的日志文件,并继续写入新的审计事件。
    SUSPEND:停止写入审计日志,但 Audit 服务继续运行。
    SYSLOG向 syslog 写入一条警告信息。
    IGNORE忽略 max_log_file 的设置,继续写入当前的日志文件。
修改配置文件后,需要重新启动 Audit 服务以使更改生效:
systemctl restart auditd

7. 查看 Audit 记录的日志

Audit 日志可以使用 cat 进行查看,也可以使用 Audit 提供的工具(如 ausearch 和 aureport)进行搜索和报告生成。
ausearch 命令常见选项:
-f:搜索与指定文件相关的审计事件。
-k:搜索包含指定关键字的审计事件。
-ts 和 -te:搜索在指定时间范围内的审计事件。
示例:
搜索与指定文件相关的事件:
ausearch -f /var/run/faillock
搜索包含指定关键字的事件:
ausearch -k LOGINF
搜索在指定时间范围内的事件:
ausearch -ts yesterday -te now
aureport 命令常见选项:
-l:生成登录活动的审计报告。
-f:生成文件访问的审计报告。
-r:指定审计日志文件的路径(如果审计日志不在默认路径下)。
-i:生成一个交互式的报告,允许用户选择特定的时间段和事件类型。
示例:
生成登录活动的审计报告:
aureport -l
生成文件访问的审计报告:
aureport -f
指定审计日志文件的路径:
aureport -r /path/to/audit.log
生成交互式报告:
aureport -i

原文始发于微信公众号(网络个人修炼):CentOS 系统审计(Audit)入门指南

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月10日20:57:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CentOS 系统审计(Audit)入门指南https://cn-sec.com/archives/3248406.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息