Linux audit【规则设置篇】
来源:互联网 发布:stl源码剖析 怎么样 编辑:程序博客网 时间:2024/05/16 15:11
前面两篇博文介绍了Linux audit的架构,以及守护auditd的配置。让audit真正的为我们服务,还需要配置audit的规则,也就是说我们要audit什么样的事件,具体什么事件需要audit来监控跟实际的应用有关。这里主要介绍audit的规则配置工具auditctl和文件配置方法/etc/audit/audit.rules.
这里首先介绍auditctl的应用,具体使用指南查看man auditctl。auditctl的man 描述说明这个工具主要是用来控制audit系统行为,获取audit系统状态,添加或者删除audit系统的规则。控制audit系统行为和获取audit系统状态参数:
- -s 或者auditd 状态 auditctl -s 显示:AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0
- -e [0|1|2] 设置audit使能标识, 0 表示临时关闭audit,1 表示启用audit,2表示锁住audit规则配置文件,这条命令一般设这在audit.rules的最后一条,任何人试图修改audit规则都会被记录,并且禁止修改。我们先运行auditctl -e 1 显示:AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0;我们运行auditctl -e 0 显示AUDIT_STATUS: enabled=0 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0 这里我们看到不同的参数只是修改了enabled项
- -f [0|1|2]控制失败标识。也就flag位,这个位的主要作用是This option lets you determine how you want the kernel to handle critical errors
- -r 设置速率,也就是每秒钟消息数目,非0的话如果系统在1秒钟大于设定的值,就会触发系统flag标识的行为
- -b 设置backlog_limit
audit系统规则设置:
文件系统audit设置:
- -w path path是一个文件或者目录的绝对路径。
- -p [r|w|x|a] 和-w一起使用,监测用户对这个目录的读 写 执行 或者属性变化如时间戳变化。
- -k 指定一个key,在ausearch的时候使用
系统调用的监控:
- -a 添加一条系统调用监控规则
- -S 后面接需要监测的系统调用的名称
显示规则和移除规则:
- -D 删除所有规则
- -d 删除一条规则和-a对应
- -W 删除一条规则和-w对应
- -l 列出所有规则
来源:http://blog.chinaunix.net/uid-20786165-id-3168258.html
0 0
- Linux audit【规则设置篇】
- linux Audit 介绍【架构篇】
- Linux audit【daemon配置篇】
- linux Audit 介绍【架构篇】
- linux Audit 介绍【架构篇】
- audit基本设置
- LINUX 变量设置规则
- linux设置密码规则
- RH LINUX audit subsystem
- Linux Audit功能
- linux 审计--audit
- 5.3.3 审核(audit)规则
- Phabricator之Audit触发规则修改
- Linux防火墙iptables规则设置
- linux的审计功能(audit)
- linux的审计功能(audit)
- Linux中audit日志的使用方法
- Linux基础备忘_09:Audit test
- vim 高级使用技巧第二篇
- java 多线程下载文件
- 输入一个非负整数,返回组成它的数字之和(例如:1729)
- java动态代理(JDK和cglib)
- Unix环境编程之定时、信号与中断
- Linux audit【规则设置篇】
- 【Spring】Spring的IOC(控制反转)/DI(依赖注入)原理(二):模拟Spring加载配置文件
- SQL删除某一列的默认约束
- Objective-C Runtime 运行时之一:类与对象
- 自定义组合控件(密码锁的数字上下滚动效果)
- Leases租约机制完全理解手册
- 第二章 20
- P51 第二章第二十题
- 【Java并发编程】之九:死锁(含代码)