Auditd-Linux安全审计工具

介绍

Auditd工具可以帮助运维人员审计Linux。

安装

$ apt-get install auditd

工具

auditd拥有一系列的工具

• /etc/audit/rules.d/audit.rules：包含审核规则的文件
• aureport：生成和查看审计规则的文件
• ausearch：是一个搜索各种事件的工具
• autrce：用于跟踪进程的命令
• /etc/audit/auditd.conf：审计工具的配置文件

使用

auditctl

$ auditctl -help

查看帮助。

查看规则

$ auditctl -l

审核文件

$ auditctl -w /etc/passwd -p rwxa

运行之后就会对/etc/passwd文件进行监控。
各个参数：

-w：此参数将在路径中插入文件系统对象的监视
-p：此参数描述文件系统监视将触发的权限访问类型
rwxa：是绑定到上面的-p参数的属性。读取r，w写入，x是执行，a是属性

如果不想要继续监控下去，只需：

$ auditctl -W /etc/passwd

审核目录

$ auditctl -w /data/

ausearch

用来查看审核的日志。
例如：

$ ausearch -f /etc/passwd
...

具体可以参考：https://linoxide.com/how-tos/...

aureport

$ aureport

不加任何参数，将生成审计活动的摘要报告。
如果有出现验证失败，可以：

$ aureport -au

如果想要查看于账户修改相关的所有事件，加上-m参数：

$ aureport -m

审核配置文件

如果想要审核永久化的话，需要编辑/etc/audit/rules.d/audit.rules

然后重新加载配置文件：

$ augenrules --load

或者重启服务：

$ systemctl restart auditd

参考来源

https://linoxide.com/how-tos/...