Auditd-Linux安全審計工具
阿新 • • 發佈:2018-12-10
介紹
Auditd工具可以幫助運維人員審計Linux。
安裝
$ apt-get install auditd工具
auditd擁有一系列的工具
- /etc/audit/rules.d/audit.rules:包含稽核規則的檔案
- aureport:生成和檢視審計規則的檔案
- ausearch:是一個搜尋各種事件的工具
- autrce:用於跟蹤程序的命令
- /etc/audit/auditd.conf:審計工具的配置檔案
使用
auditctl
$ auditctl -help檢視幫助。
檢視規則
$ auditctl -l稽核檔案
$ auditctl -w /etc/passwd -p rwxa執行之後就會對/etc/passwd
-w:此引數將在路徑中插入檔案系統物件的監視-p:此引數描述檔案系統監視將觸發的許可權訪問型別rwxa:是繫結到上面的-p引數的屬性。讀取r,w寫入,x是執行,a是屬性
如果不想要繼續監控下去,只需:
$ aduitctl -W /etc/passwd稽核目錄
$ auditctl -w /data/ausearch
用來檢視稽核的日誌。例如:
$ ausearch -f /etc/passwd
...aureport
$ aureport不加任何引數,將生成審計活動的摘要報告。如果有出現驗證失敗,可以:
$ aureport -au如果想要檢視於賬戶修改相關的所有事件,加上-m
$ aureport -m