Linux安全审计-2015信息安全第二次试验.pptxVIP

Linux安全审计2015信息安全第二次试验审计内容审计系统的审计信息包括：可被审计的事件名称，事件状态和安全信息。可以将记录系统内部发生的事件的信息根据用户的需求提供不同的报表功能，从而实现对系统信息的追踪、审计和统计、报告等功能。Linux审计系统Linux审计系统用来记录系统安全信息，分为用户空间审计系统和内核空间审计系统。其中用户空间审计系统用来设置规则和审计系统状态，内核空间审计系统产生和过滤内核的各种审计信息。审计后台auditd应用程序通过netlink机制从内核中接收审计消息，然后通过一个工作线程将审计消息写入到审计日志文件中，Linux的审核系统提供了一种记录系统安全信息的方法，为系统管理员在用户违反系统安全规则时提供及时的警告信息。内核其他线程通过内核审计API写入套接字缓冲区队列audit_skb_queue中，内核线程kauditd通过netlink机制将审计消息定向发送给用户控件的审计后台auditd的主线程，auditd主线程再通过事件队列将审计消息传给审计后台的写log文件线程，写入log文件。另一方面，审计后台还通过一个与套接字绑定的管道将审计消息发送给dispatcher应用程序。审计应用程序用户空间的审计系统应用程序有：auditd, audispd, auditctl, autrace, ausearch和aureport。他们的作用分别如下：auditd，审计后台。接收信息并写入/var/log/audit/audit.log audispd，消息分发的后台进程，用来将auditd后台发过来的一些消息通过syslog写入日志系统。auditctl，控制行为、状态，从内核审计系统添加或者删除规则。autrace，添加审计规则。审计信息的结果记录在审计log文件中，ausearch，查询审计后台的日志，基于不同搜索规则的事件查询审计后台日志。aureport，审计产生后台日志的总结报告。实验准备CentOS 7.0/7.1审计日志的默认位置：/var/log/audit/audit/log。审计安装：yum install audit。（一般默认安装）审计系统开启：systemctl start auditd。熟悉相关命令：auditctl、ausearch、aureport、autrace