一、auditd服务
auditd是Linux系统中的一款安全审计程序,可以跟踪系统中的各种操作行为,从而提高系统安全性。它使用内核功能来监控进程,文件系统和网络。auditd服务主要包括以下两个方面的内容。
1. 配置文件
在Linux系统中,默认安装了auditd服务,配置文件位于/etc/audit/auditd.conf。配置参数涵盖了审计日志存储路径、最大审计日志大小等。
log_file = /var/log/audit/audit.log log_format = RAW log_group = root priority_boost = 4 flush = INCREMENTAL_ASYNC freq = 50 num_logs = 4 disp_qos = lossy dispatcher = /sbin/audispd name_format = NONE max_log_file = 50 max_log_file_action = ROTATE space_left = 75 space_left_action = SYSLOG admin_space_left = 50 admin_space_left_action = SUSPEND disk_full_action = SUSPEND disk_error_action = SUSPEND tcp_listen_queue = 5 tcp_max_per_addr = 1 enable_krb5 = no krb5_principal = auditd krb5_key_file = /etc/audit/audit.key
2. 审计规则
auditd可以通过自己的审计规则来审计系统操作行为,规则文件位于/etc/audit/rules.d/。审计规则由以下三个部分构成:
-a exit,always -F arch=b64 -F euid=0 -S write -k test -a exit,always -F dir=/usr/bin/ -F perm=x -F auid>=1000 -F auid!=4294967295 -k perm_u -w /etc/sudoers -p wa -k sudoers
-a 表示规则的类型,exit表示系统调用函数结束时候触发规则动作,always意思为无论成功还是失败都进行审计,-F则表示选项。
二、AuditDate
AuditDate是一个将日志中的日期和时间戳转换为人类可读日期和时间的工具。AuditDate命令需要一些参数才能确保正确解释日志时间戳。
1. 参数格式
AuditDate命令的常用参数如下:
-w
:计算从当前时间向前的周数。-m
:计算从当前时间向前的月数。-y
:计算从当前时间向前的年数。--input-tz='UTC'
:定义日志中的时区。
2. 命令示例
以下是AuditDate命令的示例:
$ ausearch --start today -m USER_ACCT -i | audit2allow -m todayraw -o todayraw.te type todayraw_t; type todayraw_log_t; type todayraw_user_t; type todayraw_fs_t; audit_log_user_role(todayraw_log_t, todayraw_user_t) auditd_log_dir(todayraw_log_t) auditd_var_log(todayraw_log_t, todayraw_fs_t)auditallow todayraw_user_t todayraw_log_t:dir read;
auditallow todayraw_user_t todayraw_log_t:file entry;
上述命令将生成一个名为todayraw.te的文件,并将其用于生成策略模块。
三、audit灯棚
audit灯棚是指auditd服务记录的审计日志存储区。理解audit灯棚的基础是了解它是如何初始化和工作的。
1. 初始化步骤
audit灯棚的初始化过程如下:
- 创建配置文件:/etc/audit/auditd.conf。
- 创建审计规则文件:/etc/audit/rules.d/audit.rules。
- 转储审计日志:/var/log/audit/。
2. 工作方式
audit灯棚的工作方式如下:
- 记录所有的系统调用、用户和进程信息。
- 以结构化的方式存储审计日志,便于分析。
- 在系统空间被全部消耗之前自动转储审计日志到指定的目录。
四、audit的中文
audit是一个英文单词,指的是审计、审核。下文中的audit均指代Linux安全审计程序。
五、AUDITDATE啥意思
AUDITDATE是auditd日志中的时间戳,指的是进程执行结束的时间。
六、auditd服务关闭
auditd服务的关闭可以通过以下命令来实现:
$ systemctl stop auditd.service
如果想要禁用服务,可以运行如下命令:
$ systemctl disable auditd.service
七、audit单词记忆
audit是一个学术词汇,许多人可能难以记忆。这里介绍一个记忆方法:音频-带学习策略的记忆法。即将单词与音频联系起来,然后使用学习策略,如:默想或朗读单词等。
八、auditd内存占用大
在高配置的服务器上,auditd服务可能会占用大量的内存资源。如果出现该问题,可以尝试通过缩小日志文件或减少审计规则的方式解决。
九、audit读音
audit单词的读音是 /'ɔ:dɪt/。
十、audit灯光房选取
audit灯光房是指为能够在灯光下进行舞台表演而设置的房间。在Linux系统中,audit灯光房是为审计日志提供存储空间的区域,可以在配置文件中指定。