前面两篇博文介绍了Linux audit的架构,以及守护auditd的配置。让audit真正的为我们服务,还需要配置audit的规则,也就是说我们要audit什么样的事件,具体什么事件需要audit来监控跟实际的应用有关。这里主要介绍audit的规则配置工具auditctl和文件配置方法/etc/audit/audit.rules.
这里首先介绍auditctl的应用,具体使用指南查看man auditctl。auditctl的man 描述说明这个工具主要是用来控制audit系统行为,获取audit系统状态,添加或者删除audit系统的规则。控制audit系统行为和获取audit系统状态参数:
- -s 或者auditd 状态 auditctl -s 显示:AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0
- -e [0|1|2] 设置audit使能标识, 0 表示临时关闭audit,1 表示启用audit,2表示锁住audit规则配置文件,这条命令一般设这在audit.rules的最后一条,任何人试图修改audit规则都会被记录,并且禁止修改。我们先运行auditctl -e 1 显示:AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0;我们运行auditctl -e 0 显示AUDIT_STATUS: enabled=0 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0 这里我们看到不同的参数只是修改了enabled项
- -f [0|1|2]控制失败标识。也就flag位,这个位的主要作用是This option lets you determine how you want the kernel to handle critical errors
- -r 设置速率,也就是每秒钟消息数目,非0的话如果系统在1秒钟大于设定的值,就会触发系统flag标识的行为
- -b 设置backlog_limit
audit系统规则设置:
文件系统audit设置:
- -w path path是一个文件或者目录的绝对路径。
- -p [r|w|x|a] 和-w一起使用,监测用户对这个目录的读 写 执行 或者属性变化如时间戳变化。
- -k 指定一个key,在ausearch的时候使用
系统调用的监控:
- -a 添加一条系统调用监控规则
- -S 后面接需要监测的系统调用的名称
显示规则和移除规则:
- -D 删除所有规则
- -d 删除一条规则和-a对应
- -W 删除一条规则和-w对应
- -l 列出所有规则
阅读(17843) | 评论(0) | 转发(3) |