audit Linux 用户空间审计工具
2020-06-08 本文已影响0人
Odven
审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。
1. 审计能够记录的日志内容:
a) 日期与事件以及事件的结果
b) 触发事件的用户
c) 所有认证机制的使用都可以被记录,如ssh等
d) 对关键数据文件的修改行为等都可以被记录
2. 安装和启动
yum -y install audit
启动auditd
systemctl start auditd
systemctl enable auditd
日志位置: /var/log/audit/audit.log
3. 配置审计规则
auditctl -s //查询状态
auditctl -l //查看规则
auditctl -D //删除所有规则
auditctl --help
usage: auditctl [options]
-a <l,a> Append rule to end of <l>ist with <a>ction
-A <l,a> Add rule at beginning of <l>ist with <a>ction
-b <backlog> Set max number of outstanding audit buffers
allowed Default=64
-c Continue through errors in rules
-C f=f Compare collected fields if available:
Field name, operator(=,!=), field name
-d <l,a> Delete rule from <l>ist with <a>ction
l=task,exit,user,exclude
a=never,always
-D Delete all rules and watches
-e [0..2] Set enabled flag
-f [0..2] Set failure flag
0=silent 1=printk 2=panic
-F f=v Build rule: field name, operator(=,!=,<,>,<=,
>=,&,&=) value
-h Help
-i Ignore errors when reading rules from file
-k <key> Set filter key on audit rule
-l List rules
-m text Send a user-space message
-p [r|w|x|a] Set permissions filter on watch
r=read, w=write, x=execute, a=attribute
-q <mount,subtree> make subtree part of mount point's dir watches
-r <rate> Set limit in messages/sec (0=none)
-R <file> read rules from file
-s Report status
-S syscall Build rule: syscall name or number
-t Trim directory watches
-v Version
-w <path> Insert watch at <path>
-W <path> Remove watch at <path>
--loginuid-immutable Make loginuids unchangeable once set
--reset-lost Reset the lost record counter
定义临时文件系统规则
auditctl -w path -p permission -k key_name
# path为需要审计的文件或目录
# 权限可以是r,w,x,a(文件或目录的属性发生变化)
# Key_name为可选项,方便识别哪些规则生成特定的日志项
auditctl -w /etc/passwd -p wa -k passwd_change //设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
auditctl -w /etc/selinux/ -p wa -k selinux_change //设置规则,监控/etc/selinux目录
auditctl -w /usr/sbin/fdisk -p x -k disk_partition //设置规则,监控fdisk程序
auditctl -w /etc/ssh/sshd_config -p warx -k sshd_config //设置规则,监控sshd_conf文件
如果需要创建永久审计规则,则需要修改规则配置文件
vim /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_changes
-w /usr/sbin/fdisk -p x -k partition_disks
-w /etc/ssh/sshd_config -p warx -k sshd_config
4. 通过工具搜索日志
系统提供的ausearch命令可以方便的搜索特定日志,默认该程序会搜索/var/log/audit/audit.log,ausearch options -if file_name可以指定文件名。
ausearch -k sshd_config -i //根据key搜索日志,-i选项表示以交互式方式操作
ausearch -k passwd_changes -i
ausearch -k partition_disks -i
5. 内容分析
# type为类型
# msg为(time_stamp:ID),时间是date +%s(1970-1-1至今的秒数)
# arch=c000003e,代表x86_64(16进制)
# success=yes/no,事件是否成功
# a0-a3是程序调用时前4个参数,16进制编码了
# ppid父进程ID,如bash,pid进程ID,如cat命令
# auid是审核用户的id,su - test, 依然可以追踪su前的账户
# uid,gid用户与组
# tty:从哪个终端执行的命令
# comm="cat" 用户在命令行执行的指令
# exe="/bin/cat" 实际程序的路径
# key="sshd_config" 管理员定义的策略关键字key
# type=CWD 用来记录当前工作目录
# cwd="/home/username"
# type=PATH
# ouid(owner's user id) 对象所有者id
# guid(owner's groupid) 对象所有者id
