Linux:安全审计功能的实现——audit详解

最新推荐文章于 2026-05-15 08:42:36 发布
原创 最新推荐文章于 2026-05-15 08:42:36 发布 · 5.9k 阅读 · 16
标签
#linux #audit
本文详细介绍了Linux系统中auditd服务的安装、启动、状态检查、自定义文件监控、审计日志查看及规则管理。通过auditctl和ausearch等工具,可以实现对系统操作的审计和日志分析,确保系统安全。此外,还提到了如何修改配置文件以持久化监控规则,并展示了生成审计日志报告的方法。

1、安装

centos:默认安装

Ubuntu:sudo apt install auditd

2、开启auditd服务

systemctl start auditd

3、查看当前auditd服务状态

systemctl status auditd

auditctl -s

4、重启auditd服务

systemctl restart auditd  或  systemctl reload auditd

5、自定义对指定文件或目录进行监视

(1)命令行语法(暂时生效,系统重启后失效):

auditctl -h   查看auditctl命令使用规则,如下:

常用监视指令示例:

auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
-k 给当前这条监控规则起个名字,方便搜索过滤
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

(2)修改配置文件

        auditd的配置文件为/etc/audit/audit下的auditd.conf 和audit.rules,auditd.conf 主要是定义了auditd服务日志和性能等相关配置,audit.rules才是定义规则的文件,下面是一个例子,其实就是把auditctl的命令直接拿过来即可,auditctl里支持

最低0.47元/天 解锁文章
audit审计规则配置方法
bigwood99的博客
09-06 2万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
Linux系统之auditctl命令详解
weixin_56303229的博客
03-05 1313
auditctl 是 Linux 审计系统(Audit System)的一个命令行工具,用于控制系统审计的行为。它允许用户配置内核审计模块,控制哪些事件应该被记录、如何记录以及存储在什么地方等。通过 auditctl,可以定义详细的审计规则来监控文件访问、系统调用、网络活动等多种类型的系统行为,这对于安全审计和合规性检查非常有用。
React Native Picker Select 社区贡献指南:从问题报告到PR提交的完整流程
最新发布
gitblog_00995的博客
05-15 435
React Native Picker Select 是一个模拟 iOS 和 Android 原生选择器界面的 React Native 组件,为移动应用开发提供了便捷的下拉选择功能。本指南将详细介绍如何参与该项目的社区贡献,从发现问题到提交代码的完整流程,帮助新手轻松入门开源贡献。 ## 贡献前的准备工作 📋 ### 环境搭建 首先需要将项目仓库克隆到本地: ```bash git c
Linux内核:进程管理——安全审计
m0_74282605的博客
04-17 1776
audit.rules 是 audit 的规则文件,确定 audit 的日志中记录哪些操作。syslog记录的信息有限,主要目的是软件调试,跟踪和打印软件的运行状态,而audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
【安全】linux audit审计使用入门
追寻梦想的青春
10-11 6378
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
Linux安全之auditd审计工具使用说明
Innocence_0的博客
02-27 7200
audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置是使用auditctl实用程序完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外,还有一个augenrules程序,它读取/etc/audit/rules.d/中的规则,并将它们编译为audit.rules文件。
Linux安全审计功能实现——audit详解
u012759006的博客
04-29 1万+
1、安装: centos默认安装,Ubuntu:sudo apt-get install auditd 2、开启auditd服务: service auditd start 3、查看当前auditd服务状态: service auditd status auditctl -s 4、重启auditd服务: service auditd restart 或 service audi...
Linux audit详解
热门推荐
whuzm08的专栏
02-14 3万+
什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs) syslog记录的信息有限,主要...
Linux安全审计功能实现audit命令
yunweimao的博客
02-10 9436
1、简介我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
linux audit(安全审计功能)
underzerotem的博客
05-07 1653
今天系统中遇到rc.local被人删除掉的问题,从同事那里得知一工具可以监控文件被删除或修改是被谁和哪条指令修改的,就是audit,总结了一下,尤其是注意事项,希望后续可以省掉一些问题定位时间。 Linux安全审计功能 audit详解 动机 我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,...
Linux 中的审计与系统调用(audit、syscall)
w1010b的博客
03-16 2068
Linux AuditLinux 内核中的一个子系统,用于记录系统调用和文件访问等事件。通过 Audit,系统管理员可以监控系统中的安全相关事件,如文件访问、用户登录、权限更改等。Audit 提供了强大的日志记录功能,帮助管理员进行安全审计和故障排查。定期分析 Audit 日志可以帮助你及时发现潜在的安全问题,确保系统的安全性。
linux的审计功能audit
weixin_71792169的博客
09-26 5192
PART ONE 为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs) syslog会记录系统状态(硬件警告、
linux 审计(auditd)原理分析
guoguangwu的专栏
08-18 7197
前面几篇博客说过可以使用auditctl 添加和删除规则等。 现在谈谈auditd的相关实现。基于 Linux2.6.11.12 这些代码主要在下面的文件中 kernel/audit.c 提供了核心的审计机制。 kernel/auditsc.c 实现了系统调用审计、过滤审计事件的机制。 用户可以使用应用程序auditctl向内核添加规则,内核检测到这些变动之后,会在进程创...
linux审计功能及规则 (audit.rule)
winnieFighting
11-28 5452
在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。
auditctl (转)
weixin_33834628的博客
06-28 982
一.audit介绍 auditlinux系统中用于记录用户底层调用情况的系统,如记录用户执行的open,exit等系统调用.并会将记录写到日志文件中.audit可以通过使用auditctl命令来添加或删除audit规则.设置针对某个用户进行记录,或针对某个进程的进行记录. audit主要包含2个命令: auditd audit服务进程auditctl ...
linux-auditd.service
yuanlnet的博客
10-23 421
linux-auditd.service
Linux系统之audit
bingshanzhu的专栏
04-29 2282
Linux 提供了用来记录系统安全信息的审计系统,使用 audit 系统可以在应用程序执行期间获取比如发生错误的时间,哪个文件导致错误以及原因,什么进程导致了错误等等信息。 用户空间审计系统 Linux内核拥有包括记录系统调用和文件访问等的日志记录事件的能力,管理员可以检查这些日志,确定是否存在安全漏洞,比如多次失败的登录尝试,或者用户对系统文件不成功的访问等。 1、Linux 内核中的几种系统调...
Linux-Audit审计解析
qq_38135115的博客
02-20 5461
前言 Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。 Linux 用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术探索者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值