安全最重要的一步是内部安全,如何监控用户的行为是一个永恒不变的话题。audit可以详细监控用户的行为,详细到查看或修改了某个文件。这些都可以在日志中查看到。
安装小贴士:CentOS默认已经安装1yum -y install audit*
开启audit服务123service auditd start#开启service auditd stop#关闭service auditd restart#重启配置文件1vim /etc/audit/auditd.conf1234log_file = /var/log/audit/audit.log#日志保存文件max_log_file = 6#单个日志文件最大占用空间(MB)max_log_file_action = ROTATE#日志文件达到最大空间的动作: ROTATE为将旧日志文件重命名,再新建日志文件继续写入freq = 20#每隔20条记录写入日志中(flush = INCREMENTAL时有效)添加规则1.临时有效12345auditctl -w /bin/rm -p x -k removefile-w#指定所要监控的文件或命令-p#监控属性(如x执行)-k#指定关键词(方便在日志中查询)-D#清除规则(临时,不会清除配置文件规则)2.永久生效小贴士:/etc/audit/rules.d/audit.rules为规则配置文件/etc/audit/audit.rules根据/etc/audit/rules.d/audit.rules里的规则自动生成所以我们编辑/etc/audit/rules.d/audit.rules就好了123vim vim /etc/audit/rules.d/audit.rules-w /bin/rm -p x -k removefile#添加这一句service auditd restart#重启服务
查看规则1auditctl -l查看日志小贴士:实验过程中记得把配置文件/etc/audit/auditd.conf中freq设置为1,不然很可能查看不到结果。
方式1-直接查看1cat /var/log/audit/audit.log例如:运行命令rm -rf /root/123发现可以详细的看到谁在什么时候对谁干了些什么
字段解释12type=PATH#类型msg=audit(1558846158.888:141)#时间戳和事件id(同一事件则id相同)方式2-ausearch一般查日志的方式很不方便,所以audit给出了非常友好的日志查看命令。1234ausearch-i#显示信息更清晰,比如显示日期而不是时间戳-k#指定关键词(auditctl -k指定的关键词)-c commond#只显示与指令相关日志(如-c rm)
例如:运行命令ausearch -i可以看到不同事件用—-分割开;显示了日期而不是时间戳;显示了用户名而不是uid。
赏支持我一下吧~
支付宝 微信