引言
在Linux系统中,安全审计是至关重要的一环,它可以帮助管理员了解系统的安全状况,发现潜在的安全隐患,并采取相应的措施进行修复,Auditd是一款功能强大的Linux审计工具,它可以记录系统的各种事件,包括文件改动、用户登录、网络连接等,本文将介绍如何使用auditd记录Linux系统文件改动,帮助管理员更好地保护系统安全。
auditd简介
Auditd是一个Linux审计守护进程,它可以记录系统的各种事件,并将这些事件以日志的形式保存在磁盘上,Auditd支持多种日志格式,如文本格式、二进制格式和JSON格式,Auditd还支持多种日志存储方式,如本地存储、远程存储和第三方存储。
Auditd的主要功能如下:
1、记录系统事件:Auditd可以记录系统的各种事件,如文件改动、用户登录、网络连接等。
2、生成审计日志:Auditd将记录的事件以日志的形式保存在磁盘上,管理员可以通过查看这些日志来了解系统的运行状况。
3、过滤审计日志:Auditd支持对审计日志进行过滤,管理员可以根据需要筛选出感兴趣的事件。
4、报警通知:Auditd可以将重要的审计事件发送给管理员,以便及时采取措施。
5、审计规则配置:Auditd支持自定义审计规则,管理员可以根据需要配置不同的审计规则。
安装auditd
在大多数Linux发行版中,auditd已经预装,如果系统中没有auditd,可以使用以下命令进行安装:
对于Debian/Ubuntu系统:
sudo aptget install auditd audispdplugins
对于CentOS/RHEL系统:
sudo yum install audit auditlibs auditpluginspython
安装完成后,可以使用以下命令启动auditd服务:
sudo systemctl start auditd
配置auditd
要使用auditd记录文件改动事件,首先需要配置相应的审计规则,以下是一个简单的示例:
1、打开auditd配置文件:
sudo nano /etc/audit/auditd.conf
2、在配置文件中添加以下内容:
log_file = /var/log/audit/audit.log log_format = RAW priority_boost = 4 flush = INCREMENTAL_ASYNC freq = 200 num_logs = 5 disp_qos = lossy dispatcher = /sbin/audispd name_format = NONE action_mail_acct = root admin_space_left = 75% admin_space_left_action = mail
这里将审计日志保存在/var/log/audit/audit.log文件中,日志格式为RAW,优先级提升为4,刷新频率为200次/秒,保留5个日志文件,丢弃质量较低的日志,当磁盘空间不足时,通过邮件通知管理员。
3、保存配置文件并退出编辑器。
接下来,需要配置audispd插件来处理文件改动事件,以下是一个简单的示例:
1、打开audispd配置文件:
sudo nano /etc/audisp/plugins.d/file_changes.conf
2、在配置文件中添加以下内容:
type=SERVICE_CHANGE msg=audit(1436898400.168:12345): item=file changed in state: oldpath=/path/to/oldfile; newpath=/path/to/newfile; inode=xxxxxx; size=xxxxx; perms=xxxxxx; owner=xxxxxx; group=xxxxxx; exe="/usr/bin/mv"; res=0; time=xxxx; tag=FILE_MODIFY type=USER msg=audit(1436898400.168:12346): user pid=xxxxx uid=xxxxx auid=xxxxx gid=xxxxx ses=xxxxx comm="touch" reason="unknown" euid=xxxxx suid=xxxxx fsuid=xxxxx egid=xxxxx sgid=xxxxx fsgid=xxxxx tty=pts0$ prio=5 rt_priority=0 policy=default acct="root" exe="/usr/bin/touch" subj=system_u:system_r:unlabeled_t:s0s0:c0.c1023 key=(null)