4步教你學會使用Linux-Audit工具

摘要:簡單來講audit是Linux上的審計工具,可以用來記錄和監控對文件、目錄、系統資源的更改;Audit無法直接增強系統的安全性,但是它可以用於發現違反系統安全政策的行為。

本文分享自華為雲社區《Linux-Audit工具使用簡介》,作者: 雲存儲開發者支援團隊。

簡單來講audit是Linux上的審計工具,可以用來記錄和監控對文件、目錄、系統資源的更改;Audit無法直接增強系統的安全性,但是它可以用於發現違反系統安全政策的行為。

1. 查看audit服務是否起來

查看狀態:systemctl status auditd.service
開啟auditd服務:service auditd start
重啟服務:service auditd restart / service auditd reload

2. 配置需要監控的目錄

auditctl -w /var/crash/coredump

  • -w path : 指定要監控的路徑,上面的命令指定了監控的文件路徑 var/crash/coredump
  • -p : 指定觸發審計的文件/目錄的訪問許可權
  • rwxa : 指定的觸發條件,r 讀取許可權,w 寫入許可權,x 執行許可權,a 屬性(attr)

配置方法A

配置方法B (A方法失敗)

上述回顯異常,需在audit規則內配置監控項。

查看規則:auditctl –l(若查詢不到,請重啟節點-reboot)

3.查看日誌

到/var/log/audit目錄下面。 敲這個命令行就可以:grep -rn 搜索的字元串*

grep -rn core*

4.日誌解析

/var/crash/coredump 目錄下創建了 test 文件。時間:2021-01-16 17:10:44

/var/crash/coredump 目錄下刪除了 test 文件。時間:2021-01-16 17:12:23

audit已經提供了一個更好的事件查看工具——ausearch,使用auserach -h查看下該命令的用法。

日誌參數解讀參考://blog.csdn.net/qwertyupoiuytr/article/details/58278349

附錄

  • 查看auditctl命令使用規則:auditctl –h
  • 查看定義的規則:auditctl –l
  • 清空定義的規則:auditctl -D

CWD類型://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/sec-audit_record_types

時間戳轉換工具://tool.chinaz.com/Tools/unixtime.aspx

 

點擊關注,第一時間了解華為雲新鮮技術~