Chinaunix首页 | 论坛 | 博客
  • 博客访问: 673596
  • 博文数量: 24
  • 博客积分: 8199
  • 博客等级: 中将
  • 技术积分: 1605
  • 用 户 组: 普通用户
  • 注册时间: 2004-10-03 20:56
文章分类

全部博文(24)

文章存档

2014年(1)

2013年(2)

2012年(12)

2011年(4)

2009年(3)

2008年(2)

分类:

2012-11-28 07:03:30

     前面两篇博文介绍了Linux audit的架构,以及守护auditd的配置。让audit真正的为我们服务,还需要配置audit的规则,也就是说我们要audit什么样的事件,具体什么事件需要audit来监控跟实际的应用有关。这里主要介绍audit的规则配置工具auditctl和文件配置方法/etc/audit/audit.rules.
     这里首先介绍auditctl的应用,具体使用指南查看man auditctl。auditctl的man 描述说明这个工具主要是用来控制audit系统行为获取audit系统状态添加或者删除audit系统的规则。控制audit系统行为和获取audit系统状态参数:
  • -s 或者auditd 状态 auditctl -s 显示:AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0
  • -e [0|1|2] 设置audit使能标识, 0 表示临时关闭audit,1 表示启用audit,2表示锁住audit规则配置文件,这条命令一般设这在audit.rules的最后一条,任何人试图修改audit规则都会被记录,并且禁止修改。我们先运行auditctl -e 1 显示:AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0;我们运行auditctl -e 0 显示AUDIT_STATUS: enabled=0 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0 这里我们看到不同的参数只是修改了enabled项
  • -f [0|1|2]控制失败标识。也就flag位,这个位的主要作用是This option lets you determine how you want the kernel  to  handle  critical  errors
  • -r 设置速率,也就是每秒钟消息数目,非0的话如果系统在1秒钟大于设定的值,就会触发系统flag标识的行为
  • -b 设置backlog_limit
audit系统规则设置:
文件系统audit设置:
  • -w path path是一个文件或者目录的绝对路径。
  • -p [r|w|x|a] 和-w一起使用,监测用户对这个目录的读 写 执行 或者属性变化如时间戳变化。
  • -k 指定一个key,在ausearch的时候使用
系统调用的监控:
  • -a 添加一条系统调用监控规则
  • -S 后面接需要监测的系统调用的名称
显示规则和移除规则:
  • -D 删除所有规则
  • -d 删除一条规则和-a对应
  • -W 删除一条规则和-w对应
  • -l 列出所有规则

阅读(577) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~