服务器 Gind.cn
  1. 服务器 Gind.cn
  3. auditd / aureport中成功与失败事件的区别
Intereting Posts
正确的networkingIP地址,如果你的用户有能力进入VPN 如何使一个简单的脚本,增加一个数字字符1 服务器无法通过IP访问 如何删除404连接? 如何通过ssh远程端口转发允许从非本地主机客户端进行远程连接? SUN X4250操作系统SuSe – ILOM IP? 服务器端的ssh密钥是否安全? IP块多久重新分配到不同的地区? 使用visio或其他工具自动生成ADnetworking图 使用图像服务器的优点是什么? Windows Server 2012 R2和TCP慢启动和Hyper-v主机 Crontab间隔快捷键 Apache,内存不足 如何使用NGinx地图redirect过时的浏览器? rsync根据date创build目录

auditd / aureport中成功与失败事件的区别

aureport命令有两个选项可以将显示的事件列表限制为成功事件列表和失败事件列表。 根据手册页: 

  --failed Only select failed events for processing in the reports. The default is both success and failed events. --success Only select successful events for processing in the reports. The default is both success and failed events.

这是什么意思? 关于实际事件(例如,返回非零的系统调用)的失败/成功还是失败/成功应用于审计以及处理事件是否存在问题?

根据https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/app-Audit_Reference.html#sec-Audit_Events_Fields

成功logging系统调用是成功还是失败。

相同的指南提供了审计事件的快速浏览, https: //access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-Understanding_Audit_Log_Files.html。

成功=否成功域logging在特定事件中logging的系统调用是成功还是失败。 在这种情况下,通话没有成功。

但是,其他事件也可以被视为失败,例如res字段failed事件(例如,USER_LOGIN或CRYPTO_KEY_USER)

reslogging触发审计事件的操作的结果。

您还可以通过运行了解这些事件是什么:

sudo aureport -i --failed -e

这会给你一个被覆盖的调用/事件types的感觉,那些(在我的系统上至less)不只是SYSCALL,而是其他事件(比如前面提到的USER_LOGIN)。