一、Linux的审计功能
1.什么是审计
审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。
2.审计能够记录到日志的内容
-事件发生的日期和结果,触发事件的用户
-远程连接记录,如访问ssh,ftp
-对标记目录或文件的修改行为
-监控调用的系统资源
-记录用户的运行的命令
-监控网络访问行为
二、audit工具
audit是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
源码地址:https://github.com/linux-audit/audit-userspace
1.安装audit
安装软件包,查看配置文件(确定审计日志的位置)
- [root@proxy ~]# yum -y install audit //安装软件包
- [root@proxy ~]# cat /etc/audit/auditd.conf //查看配置文件,确定日志位置
- log_file = /var/log/audit/audit.log //日志文件路径
- [root@proxy ~]# systemctl start auditd //启动服务
- [root@proxy ~]# systemctl enable auditd //设置开机自启
2.配置审计规则
可以使用auditctl命令控制审计系统并设置规则决定哪些行为会被记录日志。
语法格式如下:
- [root@proxy ~]# auditctl -s //查询状态
- [root@proxy ~]# auditctl -l //查看规则
- [root@proxy ~]# auditctl -D //删除所有规则
定义临时文件系统规则:
语法格式:auditctl -w path -p permission -k key_name
path为需要审计的文件或目录
权限可以是r,w,x,a(r为读,w为写,x为执行,a代表文件或目录的属性发生变化)
Key_name为可选项,方便识别哪些规则生成特定的日志项
- [root@proxy ~]# auditctl -w /etc/passwd -p wa -k passwd_change
- //设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
- [root@proxy ~]# auditctl -w /etc/selinux/ -p wa -k selinux_change
- //设置规则,监控/etc/selinux目录
- [root@proxy ~]# auditctl -w /usr/sbin/fdisk -p x -k disk_partition
- //设置规则,监控fdisk程序
- [root@proxy ~]# auditclt -w /etc/ssh/sshd_conf -p warx -k sshd_config
- //设置规则,监控sshd_conf文件
如果需要创建永久审计规则,则需要修改规则配置文件:
- [root@proxy ~]# vim /etc/audit/rules.d/audit.rules
- -w /etc/passwd -p wa -k passwd_changes
- -w /usr/sbin/fdisk -p x -k partition_disks
3.查看并分析日志
1)手动查看日志
查看SSH的主配置文件/etc/ssh/sshd_conf,触发r(读)审计,然后查看audit日志信息:
- [root@proxy ~]# cat /etc/ssh/sshd_conf
- [root@proxy ~]# tailf /var/log/audit/audit.log
- type=SYSCALL msg=audit(1517557590.644:229228): arch=c000003e
- syscall=2 success=yes exit=3
- a0=7fff71721839 a1=0 a2=1fffffffffff0000 a3=7fff717204c0
- items=1 ppid=7654 pid=7808 auid=0 uid=0 gid=0 euid=0 suid=0
- fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="cat"
- exe="/usr/bin/cat"
- subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"
- .. ..
- #内容分析
- # type为类型
- # msg为(time_stamp:ID),时间是date +%s(1970-1-1至今的秒数)
- # arch=c000003e,代表x86_64(16进制)
- # success=yes/no,事件是否成功
- # a0-a3是程序调用时前4个参数,16进制编码了
- # ppid父进程ID,如bash,pid进程ID,如cat命令
- # auid是审核用户的id,su - test, 依然可以追踪su前的账户
- # uid,gid用户与组
- # tty:从哪个终端执行的命令
- # comm="cat" 用户在命令行执行的指令
- # exe="/bin/cat" 实际程序的路径
- # key="sshd_config" 管理员定义的策略关键字key
- # type=CWD 用来记录当前工作目录
- # cwd="/home/username"
- # type=PATH
- # ouid(owner's user id) 对象所有者id
- # guid(owner's groupid) 对象所有者id
2)通过工具搜索日志
系统提供的ausearch命令可以方便的搜索特定日志,默认该程序会搜索/var/log/audit/audit.log,ausearch options -if file_name可以指定文件名。
- [root@proxy ~]# ausearch -k sshd_config -i
- //根据key搜索日志,-i选项表示以交互式方式操作
