audit作用与使用说明.docVIP

audit作用及使用说明 2010-11-16 09:36 一.audit介绍 audit是linux系统中用于记录用户底层调用情况的系统,如记录用户执行的open,exit等系统调用.并会将记录写到日志文件中.audit可以通过使用auditctl命令来添加或删除audit规则.设置针对某个用户进行记录,或针对某个进程的进行记录. audit主要包含2个命令: auditd audit服务进程 auditctl audit规则设置工具 二.audit的安装 1.rpm包安装 GTES10,10.5,11版本默认都已安装audit包,可以直接使用. 2.源码安装 audit可以从源码安装. 源码下载地址: /sgrubb/audit/ 安装方法: # tar zxf audit-1.6.2.tgz # cd audit-1.6.2 # aclocal autoconf autoheader automake # ./configure --sbindir=/sbin --mandir=/usr/share/man --libdir=/lib # make # make install 三.audit相关工具介绍 1.auditd介绍 auditd是audit系统的用户空间程序.主要作用是将audit记录信息写到磁盘上.audit在启动时会读取2个配置文件: /etc/audit/auditd.conf audit配置文件 /etc/audit/audit.rules audit规则文件 audit安装后,会生成这2个文件. auditd使用方法: auditd [ -f ] -f auditd在前台运行,调试时使用. 2.auditctl介绍 auditctl用于对kernel中的audit进行控制,可以用来获取audit状态和增删audit规则. 命令使用方法: auditctl [options] -b backlog 设置audit缓冲大小(默认为64).若缓冲占满了,则kernel会发出一个失败标记. -e [0|1] 启用/禁用audit审核. -f [0..2] 设置失败标记的等级,有0,1,2三个值,0是不输出日志,1为输出printk日志,2为最高级,会大量输出 日志信息.这个选项用于设置audit获得错误的等级. 错误标记的触发条件有:传送错误到用户空间 audit 进程,未处理事务超出范围,超出内核内存范围,超出速率范围.默认值为1.在安全环境下可以 设置为2. -h 帮助 -i 从文件读取audit规则时,忽略错误. -l 显示所有规则. -k key 为一条audit规则设置一个关键字.关键字可以是31个字节长的字符串.用于过滤audit记录. -m text 向audit系统发送一个信息.只限root用户使用. -r rate 设置每秒的信息速率.如果实际信息数量超过这个速率,则将产生一个失败标记. -R file 从一个文件读取规则.每行只有一条规则.规则文件的所属用户必须是root,并且其他用户没有 读取权限.文件里可以使用以#开头的注释行. -s 输出状态信息. -a l,a 将规则添加到一个列表的结尾.l表示列表,a表示这个规则的动作. 下面是可用的列表名称: task 添加一条规则到每一个任务列表.这个规则列表只在一个任务建立的时候使用 (当父进程调用fork(),clone()时). entry 添加一条规则到系统调用entry列表. exit 添加一条规则到系统调用exit表. user 添加一条到用户信息过滤表.在信息被传送到audit进程前,kernel使用这个列表在 用户空间过滤事件信息,可以使用的字段有: uid,auid,gid,pid. exclude 添加一条规则到事件类型排除表.这个表用于过滤掉不希望显示的信息. 如:不希望显示任何avc的信息,则在此列表中添加上它. 下面介绍在规则中可以使用的动作(a): never 不产生audit记录. always 分配一个audit上下文,将它添加到系统调用开始时,并在系统调用退出时,写出 一条记录信息. -A l,a 添加一条规则到列表的开头. -d l,a 从列表中删除一条规则. -D 删除所有规则. -S [Syscall name or number