第15章 配置系统审计

环境配置

1、RHEL6.4 SERVER 10.10.10.221

2、RHEL6.4 CLIENT 10.10.10.223

1、审计使用的服务

[root@teachers rsyslog-keys]# service auditd status

auditd (pid  2004) is running...

2、查看/var/log/audit/audit.log文件的时间命令

[root@student audit]# date --date=@1453146601.704

Mon Jan 18 14:50:01 EST 2016

3、使用auditctl命令创建规则

[root@teachers ~]# auditctl -w /etc/passwd -p rx -F uid=500

[root@teachers ~]# auditctl -l

LIST_RULES: exit,always watch=/etc/passwd perm=rx uid=500 (0x1f4)

4、查看/var/log/audit/audit.log

type=SYSCALL msg=audit(1453838986.588:30574): arch=c000003e syscall=2 success=yes exit=3 a0=7f3d9391f69a a1=80000 a2=1b6 a3=0 items=1 ppid=3001 pid=3002 auid=0 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts1 ses=15 comm="id" exe="/usr/bin/id" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)

type=CWD msg=audit(1453838986.588:30574):  cwd="/home/student"

type=PATH msg=audit(1453838986.588:30574): item=0 name="/etc/passwd" inode=2885884 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:etc_t:s0

5、删除审计使用参数“-D”

[root@student ~]# auditctl -D

No rules

6、创建带关键字的的审计,可以使用关键字进行搜索

[root@student ~]#  auditctl -w /etc/passwd -p rx -F uid=500 -k zhongyaode

[root@student ~]# cat /var/log/audit/audit.log |grep zhongyaode

type=CONFIG_CHANGE msg=audit(1453839635.065:30611): auid=0 ses=2 subj=unconfined_u:unconfined_r:auditctl_t:s0-s0:c0.c1023 op="add rule" key="zhongyaode" list=4 res=1

type=SYSCALL msg=audit(1453839648.036:30616): arch=c000003e syscall=2 success=yes exit=3 a0=7f1fa1a0369a a1=80000 a2=1b6 a3=0 items=1 ppid=3093 pid=3094 auid=0 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts0 ses=2 comm="bash" exe="/bin/bash" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="zhongyaode"

type=SYSCALL msg=audit(1453839648.038:30617): arch=c000003e syscall=2 success=yes exit=3 a0=7f90ba97169a a1=80000 a2=1b6 a3=0 items=1 ppid=3095 pid=3096 auid=0 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts0 ses=2 comm="id" exe="/usr/bin/id" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="zhongyaode"

type=SYSCALL msg=audit(1453839648.046:30618): arch=c000003e syscall=2 success=yes exit=3 a0=7f77d45c669a a1=80000 a2=1b6 a3=0 items=1 ppid=3101 pid=3102 auid=0 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts0 ses=2 comm="id" exe="/usr/bin/id" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="zhongyaode"

type=SYSCALL msg=audit(1453839654.179:30619): arch=c000003e syscall=2 success=yes exit=3 a0=7fffa90888d0 a1=0 a2=7fffa9086980 a3=a items=1 ppid=3094 pid=3117 auid=0 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts0 ses=2 comm="cat" exe="/bin/cat" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="zhongyaode"

7、通过ausearch 命令查询事件号

[root@student ~]# ausearch -i -a 30616

----

type=PATH msg=audit(01/26/2016 15:20:48.036:30616) : item=0 name=/etc/passwd inode=2885884 dev=08:03 mode=file,644 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:etc_t:s0

type=CWD msg=audit(01/26/2016 15:20:48.036:30616) :  cwd=/home/student

type=SYSCALL msg=audit(01/26/2016 15:20:48.036:30616) : arch=x86_64 syscall=open success=yes exit=3 a0=7f1fa1a0369a a1=80000 a2=1b6 a3=0 items=1 ppid=3093 pid=3094 auid=root uid=student gid=student euid=student suid=student fsuid=student egid=student sgid=student fsgid=student tty=pts0 ses=2 comm=bash exe=/bin/bash subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=zhongyaode

8、追踪审计事件

[root@student ~]# autrace /bin/date

Waiting to execute: /bin/date

Tue Jan 26 15:39:33 EST 2016

Cleaning up...

Trace complete. You can locate the records with 'ausearch -i -p 3273'

[root@student ~]# ausearch -i -p 3273 | aureport --file -i

File Report

===============================================

# date time file syscall success exe auid event

===============================================

1. 12/31/1969 19:00:01 (null) inode=664418 dev=08:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:ld_so_t:s0  ? yes ? root 0

9、编写自定义审计规则

[root@teachers ~]# cat /etc/audit/audit.rules |grep 500

-a exit,always -F path=/etc/passwd -F arch=64 -F uid=500 -S all -p rwxa -k zhongyaode

10、练习

1) 配置客户端/etc/rsyslog.conf

[root@student ~]# sed -e '/^#/d'  /etc/rsyslog.conf

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)

$ModLoad imklog   # provides kernel logging support (previously done by rklogd)

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

$IncludeConfig /etc/rsyslog.d/*.conf

*.* @@10.10.10.221:514

$template SpiceTmpl,"%TIMESTAMP%.%TIMESTAMP:::date-subseconds% %syslogtag% %syslogseverity-text%:%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"

:programname, startswith, "spice-vdagent"       /var/log/spice-vdagent.log;SpiceTmpl

留下以上这几行其余都注释掉

2) 配置客户审计

[root@student ~]# sed -e '/^#/d'  /etc/audit/audit.rules

-D

-b 320

-w /etc/passwd -p rwxa -k zhongyaode -F uid=500

3) 重启客户端服务

[root@student ~]# service auditd restart

Stopping auditd: [  OK  ]

Starting auditd: [  OK  ]

4) 查看客户端审计配置

[root@student ~]# auditctl -l

LIST_RULES: exit,always watch=/etc/passwd perm=rwxa uid=500 (0x1f4) key=zhongyaode

5) 清除审计日志

[root@student ~]# > /var/log/audit/audit.log

6) 更改为远程端接收审计日志

[root@student ~]# cat /etc/audisp/plugins.d/syslog.conf

# This file controls the configuration of the syslog plugin.

# It simply takes events and writes them to syslog. The

# arguments provided can be the default priority that you

# want the events written with. And optionally, you can give

# a second argument indicating the facility that you want events

# logged to. Valid options are LOG_LOCAL0 through 7.

active = yes

direction = out

path = builtin_syslog

type = builtin

args = LOG_INFO

format = string

7) 重启审计服务和日志服务

[root@student ~]# service auditd restart

Stopping auditd: [  OK  ]

Starting auditd: [  OK  ]

[root@student ~]# service rsyslog restart

Shutting down system logger: [  OK  ]

Starting system logger: [  OK  ]

8) 配置SERVER端/etc/rsyslog.conf 配置

$ModLoad imtcp

$InputTCPServerRun 514

打开TCP端口

9) 创建配置服务

[root@teachers ~]# vim /etc/rsyslog.d/audit.conf

:fromhost-ip,isequal,"10.10.10.223" /var/log/studentaudit.log

:fromhost-ip,isequal,"10.10.10.223" ~

10) 重启SERVER端rsyslog服务

[root@teachers ~]# service rsyslog restart

Shutting down system logger: [  OK  ]

Starting system logger: [  OK  ]

11) 查看SERVER端rsyslog端口是否启用

[root@teachers ~]# netstat -tunpl|grep :514

tcp        0      0 0.0.0.0:514                 0.0.0.0:*                   LISTEN      4589/rsyslogd

tcp        0      0 :::514                      :::*                        LISTEN      4589/rsyslogd

12) 在SERVER端使用实时跟踪命令跟踪远程审计发出的消息

[root@teachers ~]# tail -f /var/log/studentaudit.log

13) 在CLIENT端上执行命令

[root@student ~]# su - student

14) 在SERVER端上的/var/log/studentaudit.log日志出现信息

Jan 26 16:48:13 student.example.com #026#003#002#000V#001#000#000R#003#002V#02541HD#0241h#031'00#000$#0003#000E#0009#0000#026#0002#000D#0008#0000#023#000f#000/#000A#0005#000

RH413企业安全加固 第15章 配置系统审计相关推荐

  1. RH413企业安全加固 第14章 配置系统日志

    第14章 配置系统日志 环境配置 1.RHEL6.4 SERVER 10.10.10.221 2.RHEL6.4 CLIENT 10.10.10.223 1.配置基于TLS的日志加密 1)查看日志服务 ...

  2. Centos8 使用auditd配置系统审计

    系统管理员使用审计来发现安全违规并跟踪其系统上的安全相关信息.根据预先配置的规则和属性,auditd 生成日志条目以记录有关系统上发生的事件信息.管理员使用此信息来分析安全策略出了什么问题,并通过采取 ...

  3. SAP BW4 410(数据抽取、信息对象、建模等)学习1-5章

    SAP BW4 410学习1-5章 1 Introduction to SAP HANA 1.1 描述SAPHANA的演变和数据布局 1.1.1 Introduction to SAP HANA 1. ...

  4. mysql 5.7.15 安装_mysql 5.7.15 安装配置方法图文教程

    MySQL数据库作为关系型数据库中的佼佼者,因其体积小,速度快,成本低,不仅受到了市场的极大追捧,也受到了广大程序员的青睐.接下来,就给大家说一下,MySQL的下载和安装: 一.MySQL的下载 第一 ...

  5. Spring - Java/J2EE Application Framework 应用框架 第 15 章 EJB的存取和实现

    第 15 章 EJB的存取和实现 作为轻量级的容器,Spring常常被认为是EJB的替代品.我们也相信,对于很多 (不一定是绝大多数)应用和用例,相对于通过EJB容器来实现相同的功能而言, Sping ...

  6. 第15章 SpringBoot集成logging日志

    第15章 SpringBoot集成logging日志 15.1 SLF4J与Logback简介 15.2 spring-boot-starter-logging 15.3 logback-spring ...

  7. 第三次作业:阅读《构建之法》1-5章有感

    这个作业的要求来自于:https://edu.cnblogs.com/campus/gzcc/GZCC-16SE2/homework/2178 阅读<构建之法>1-5章有感 第1章:概论 ...

  8. linux应用程序原理,LINUX原理及应用:第15章 XWindow及Genie应用程序

    <LINUX原理及应用:第15章 XWindow及Genie应用程序>由会员分享,可在线阅读,更多相关<LINUX原理及应用:第15章 XWindow及Genie应用程序(12页珍藏 ...

  9. 《Real-Time Rendering 4th Edition》全文翻译 - 第15章 非真实感渲染(下)15.3 ~ 15.5

    连更两篇,冲鸭! 业余翻译,若有不周到之处,还请多多指教! 实时渲染(第四版)Real-Time Rendering (Fourth Edition) 第15章 非真实感渲染  Chapter 15  ...

最新文章

  1. CentOS使用sudo提示用户不在sudoers文件中的解决方法
  2. BZOJ 1488 Luogu P4727 [HNOI2009]图的同构 (Burnside引理、组合计数)
  3. Buildroot构建指南——Linux内核
  4. 空间谱专题16:信号个数估计
  5. 一步步学习EF Core(3.EF Core2.0路线图)
  6. cve20190708补丁的kb名称_微软KB4495667补丁(CVE 2019-0708补丁)V1.1 官方版
  7. python 折线图 尾部_Matplotlib 折线图plot()所有用法详解
  8. Python列表和元组比较
  9. 代理服务器关闭没过多久又自动开启,Win10自动更新关闭了过几天又自动开启了怎么办?...
  10. 安科瑞无线测温方案part1
  11. 猫游记之游武夷逛茶博
  12. excel的主要功能_免费的Excel共享编辑办公软件,表格权限-套打模板样样有,附下载...
  13. windows 下使用nginx 实现负载均衡
  14. Redis 高可用原理及部署方法
  15. Jackson JsonGenerator类
  16. 根据图片名字在drawable中得到图片
  17. 千年一遇的对称日20200202
  18. vue简单实现无缝滚动
  19. 【Java】练习题库 程序阅读题
  20. 关于模糊控制的理解,这篇文章不错

热门文章

  1. python汉语词典_python中的字典
  2. pycharm每次新建项目都会创建虚拟环境问题,导致很多库安装后无法导入
  3. 2020年B证(安全员)考试及B证(安全员)多少钱
  4. 单元测试、集成测试、系统测试的侧重点
  5. 教你用UltraISO制作启动光盘
  6. 揭秘OPhone白手起家前后:一个系统的诞生
  7. 数字人民币APP更新后 打不开/闪退 的解决方法
  8. 十年磨一剑,匠心打造中国人自己的网络编程架构t-io
  9. 探索多维数据极端值处理方法
  10. 又一程序员删库跑路被拘留?教你如何一键恢复!