Linux安全审计之audit安装与使用

场景

安全最重要的一步是内部安全，如何监控用户的行为是一个永恒不变的话题。 audit可以详细监控用户的行为，详细到查看或修改了某个文件。这些都可以在日志中查看到。

安装

小贴士： CentOS默认已经安装

yum -y install audit*

开启audit服务

service auditd start #开启 service auditd stop #关闭 service auditd restart #重启

配置文件

vim /etc/audit/auditd.conf log_file = /var/log/audit/audit.log #日志保存文件 max_log_file = 6 #单个日志文件最大占用空间(MB) max_log_file_action = ROTATE #日志文件达到最大空间的动作: ROTATE为将旧日志文件重命名,再新建日志文件继续写入 freq = 20 #每隔20条记录写入日志中(flush = INCREMENTAL时有效)

添加规则

1.临时有效

auditctl -w /bin/rm -p x -k removefile -w #指定所要监控的文件或命令 -p #监控属性(如x执行) -k #指定关键词(方便在日志中查询) -D #清除规则(临时,不会清除配置文件规则)

2.永久生效

小贴士： /etc/audit/rules.d/audit.rules为规则配置文件 /etc/audit/audit.rules根据/etc/audit/rules.d/audit.rules里的规则自动生成 所以我们编辑/etc/audit/rules.d/audit.rules就好了

vim vim /etc/audit/rules.d/audit.rules -w /bin/rm -p x -k removefile #添加这一句 service auditd restart #重启服务

查看规则

auditctl -l

查看日志

小贴士： 实验过程中记得把配置文件/etc/audit/auditd.conf中freq设置为1，不然很可能查看不到结果。

方式1-直接查看

cat /var/log/audit/audit.log

例如：运行命令rm -rf /root/123 发现可以详细的看到谁在什么时候对谁干了些什么

字段解释

type=PATH #类型 msg=audit(1558846158.888:141) #时间戳和事件id(同一事件则id相同)

方式2-ausearch

一般查日志的方式很不方便，所以audit给出了非常友好的日志查看命令。

ausearch -i #显示信息更清晰,比如显示日期而不是时间戳 -k #指定关键词(auditctl -k指定的关键词) -c commond #只显示与指令相关日志(如-c rm)

例如：运行命令ausearch -i 可以看到不同事件用----分割开； 显示了日期而不是时间戳； 显示了用户名而不是uid。