服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 默认审计日志是什么(即没有定义规则的时候)
Intereting Posts
ubuntu 10为所有用户始终添加pathvariables 没有promisc,UDP多播不能工作。 已经尝试rp_filter = 0 简化httpd.conf文件 WDS自动login后安装 DC上的terminal服务器:当用户closures他的环境程序时,没有注销,也没有远程控制 在Sun的VirtualBox中哪个Linux发行版可以顺利运行? 网页跟踪用户地理位置 将int转换为datetime时溢出 Ubuntu | Mysql Server 300-750%的CPU Exchange 2003脱机碎片整理 脱机固件升级DL360 G7和DL185 G5 VMware,LVM和Linux:临时扩展卷,无需停机 将.htaccess中的mod_rewrite规则移至httpd.conf VPS上没有Grub? 在执行apt-get util-linux时出现Segmentation故障

默认审计日志是什么(即没有定义规则的时候)

我在我的Debian Jessie机器上安装了auditdaudispd-plugins ,并没有触及任何configuration。 我看到事件正在写入/var/log/audit/audit.log ,例如: 

 type=LOGIN msg=audit(1462384141.770:838): pid=3662 uid=0 old-auid=4294967295 auid=0 old-ses=4294967295 ses=21 res=1 type=USER_START msg=audit(1462384141.770:839): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success' type=CRED_DISP msg=audit(1462384141.778:840): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success' type=USER_END msg=audit(1462384141.778:841): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success' type=USER_ACCT msg=audit(1462384201.780:842): pid=3761 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success' type=CRED_ACQ msg=audit(1462384201.780:843): pid=3761 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success' type=LOGIN msg=audit(1462384201.780:844): pid=3761 uid=0 old-auid=4294967295 auid=0 old-ses=4294967295 ses=22 res=1 type=USER_START msg=audit(1462384201.780:845): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success' type=CRED_DISP msg=audit(1462384201.796:846): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success' type=USER_END msg=audit(1462384201.800:847): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'

但是我不确定为什么我会在日志中看到任何东西,因为我没有定义任何规则: 

 $ auditctl -l No rules

我在/etc/audit/audit.rules/etc/audit/rules.d找不到任何规则,除了默认值: 

 -D -b 320

显然我错过了一些东西。 什么是默认获取logging?

这些事件来自将审计事件发送给审计服务的其他function(pam,openssh等)。 如果您不想要任何事件,请将audit = 0添加到内核命令行参数中。

如果您想知道可能想要使用审计服务的function,请尝试类似的方法 

 [burn@fc24 ~]$ rpm -q --whatrequires audit-libs libsemanage-2.5-2.fc24.x86_64 shadow-utils-4.2.1-8.fc24.x86_64 pam-1.2.1-5.fc24.x86_64 util-linux-2.28-3.fc24.x86_64 openssh-7.2p2-9.fc24.x86_64 passwd-0.79-8.fc24.x86_64 gdm-3.20.1-3.fc24.x86_64 pam-1.2.1-5.fc24.i686 [burn@fc24 ~]$

缺省情况下,auditdlogging安全相关的命令。 这不是在configuration文件中可以看到的,在auditd运行时默认情况下会发生。 您可以使用以下命令获取最近在系统上logging的命令的摘要: 

 sudo aureport -x --summary

我一直无法find默认情况下logging的所有命令的列表。 我的CentOS 7系统默认logging这些(不是一个详尽的列表,只是日志中显示的内容): 

 /usr/sbin/crond /usr/libexec/dovecot/auth /usr/sbin/sshd /usr/bin/sudo /usr/sbin/xtables-multi /usr/lib/systemd/systemd /usr/bin/passwd

它还logginglogin,注销和SELinux相关的消息。

两篇文章被用作参考:

  • 如何在CentOS 7上使用Linux审计系统
  • 如何在CentOS 7上编写自定义系统审计规则