應(yīng)用安全-安全審計日志目錄 /var/log/audit/audit.log

[root@localhost audit]# cd /etc/audit/
[root@localhost audit]# ls
auditd.conf audit.rules rules.d

添加審計規(guī)則

auditctl -w /etc/passwd -p wa

監(jiān)視/etc/passwd文件被寫、修改文件屬性的操作，并記錄

auditctl -w /etc/sudoers -p wa

監(jiān)視/etc/sudoers文件被寫、修改文件屬性的操作，并記錄

auditctl -w /var/lib/mysql -p wa

監(jiān)視/var/lib/mysql 文件被寫、修改文件屬性的操作，并記錄

auditctl -w /var/log/secure -p wa

監(jiān)視/var/log/secur 文件被寫、修改文件屬性的操作，并記錄

-w 監(jiān)控文件路徑
-p 監(jiān)控文件篩選 r(讀) w(寫) x(執(zhí)行) a(屬性改變)

審計audit總結(jié)

#查看審計規(guī)則

#auditctl -l

#添加審計規(guī)則

#-w path : 指定要監(jiān)控的路徑，上面的命令指定了監(jiān)控的文件路徑 /etc/passwd

#-p : 指定觸發(fā)審計的文件/目錄的訪問權(quán)限

#-k 給當(dāng)前這條監(jiān)控規(guī)則起個名字，方便搜索過濾

#rwxa ： 指定的觸發(fā)條件，r 讀取權(quán)限，w 寫入權(quán)限，x 執(zhí)行權(quán)限，a 屬性（attr）

#auditctl -w /etc/passwd -p rwxa

#查看審計日志

#ausearch -f /etc/passwd

#生成簡要報告

#aureport

注意：用
auditd 添加審計規(guī)則是臨時的，立即生效，但是系統(tǒng)重啟失效。重啟仍然有效，需要在 /etc/audit/audit.rules 文件中添加規(guī)則，然后重啟服務(wù)：
service auditd restart 或者 service auditd
reload

總結(jié)

以上是生活随笔為你收集整理的linux系统安全审计简单设置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。