auditd详解

一、auditd服务

auditd是Linux系统中的一款安全审计程序，可以跟踪系统中的各种操作行为，从而提高系统安全性。它使用内核功能来监控进程，文件系统和网络。auditd服务主要包括以下两个方面的内容。

1. 配置文件

在Linux系统中，默认安装了auditd服务，配置文件位于/etc/audit/auditd.conf。配置参数涵盖了审计日志存储路径、最大审计日志大小等。

    log_file = /var/log/audit/audit.log
    log_format = RAW
    log_group = root
    priority_boost = 4
    flush = INCREMENTAL_ASYNC
    freq = 50
    num_logs = 4
    disp_qos = lossy
    dispatcher = /sbin/audispd
    name_format = NONE
    max_log_file = 50
    max_log_file_action = ROTATE
    space_left = 75
    space_left_action = SYSLOG
    admin_space_left = 50
    admin_space_left_action = SUSPEND
    disk_full_action = SUSPEND
    disk_error_action = SUSPEND
    tcp_listen_queue = 5
    tcp_max_per_addr = 1
    enable_krb5 = no
    krb5_principal = auditd
    krb5_key_file = /etc/audit/audit.key

2. 审计规则

auditd可以通过自己的审计规则来审计系统操作行为，规则文件位于/etc/audit/rules.d/。审计规则由以下三个部分构成：

    -a exit,always -F arch=b64 -F euid=0 -S write -k test
    -a exit,always -F dir=/usr/bin/ -F perm=x -F auid>=1000 -F auid!=4294967295 -k perm_u
    -w /etc/sudoers -p wa -k sudoers

-a 表示规则的类型，exit表示系统调用函数结束时候触发规则动作，always意思为无论成功还是失败都进行审计，-F则表示选项。

二、AuditDate

AuditDate是一个将日志中的日期和时间戳转换为人类可读日期和时间的工具。AuditDate命令需要一些参数才能确保正确解释日志时间戳。

1. 参数格式

AuditDate命令的常用参数如下：

• -w：计算从当前时间向前的周数。
• -m：计算从当前时间向前的月数。
• -y：计算从当前时间向前的年数。
• --input-tz='UTC'：定义日志中的时区。

2. 命令示例

以下是AuditDate命令的示例：

    $ ausearch --start today -m USER_ACCT -i | audit2allow -m todayraw -o todayraw.te
    type todayraw_t;
    type todayraw_log_t;
    type todayraw_user_t;
    type todayraw_fs_t;
    audit_log_user_role(todayraw_log_t, todayraw_user_t)
    auditd_log_dir(todayraw_log_t)
    auditd_var_log(todayraw_log_t, todayraw_fs_t)
    
auditallow todayraw_user_t todayraw_log_t:dir read;
 
    auditallow todayraw_user_t todayraw_log_t:file entry;

上述命令将生成一个名为todayraw.te的文件，并将其用于生成策略模块。

三、audit灯棚

audit灯棚是指auditd服务记录的审计日志存储区。理解audit灯棚的基础是了解它是如何初始化和工作的。

1. 初始化步骤

audit灯棚的初始化过程如下：

1. 创建配置文件：/etc/audit/auditd.conf。
2. 创建审计规则文件：/etc/audit/rules.d/audit.rules。
3. 转储审计日志：/var/log/audit/。

2. 工作方式

audit灯棚的工作方式如下：

1. 记录所有的系统调用、用户和进程信息。
2. 以结构化的方式存储审计日志，便于分析。
3. 在系统空间被全部消耗之前自动转储审计日志到指定的目录。

四、audit的中文

audit是一个英文单词，指的是审计、审核。下文中的audit均指代Linux安全审计程序。

五、AUDITDATE啥意思

AUDITDATE是auditd日志中的时间戳，指的是进程执行结束的时间。

六、auditd服务关闭

auditd服务的关闭可以通过以下命令来实现：

    $ systemctl stop auditd.service

如果想要禁用服务，可以运行如下命令：

    $ systemctl disable auditd.service

七、audit单词记忆

audit是一个学术词汇，许多人可能难以记忆。这里介绍一个记忆方法：音频-带学习策略的记忆法。即将单词与音频联系起来，然后使用学习策略，如：默想或朗读单词等。

八、auditd内存占用大

在高配置的服务器上，auditd服务可能会占用大量的内存资源。如果出现该问题，可以尝试通过缩小日志文件或减少审计规则的方式解决。

九、audit读音

audit单词的读音是 /'ɔ:dɪt/。

十、audit灯光房选取

audit灯光房是指为能够在灯光下进行舞台表演而设置的房间。在Linux系统中，audit灯光房是为审计日志提供存储空间的区域，可以在配置文件中指定。