audit子系統提供了一種紀錄系統安全方面資訊的方法,同時能為系統管理者在使用者違反系統安全法則或者存在違反的潛在可能時,提供及時的警告資訊,這些audit子系統所收集的資訊包括:可被審計的事件名稱,事件狀态(成功或失敗),别的安全相關資訊。可被審計的事件,通常,這些事件都是定義在系統調用級别的。
審計的軟體包預設已經安裝,
而且服務一般預設就已經是啟動狀态
檢視audit狀态,enabled=1開啟審計
如何設定審計政策可以看幫助手冊
一個執行個體
auditctl -l 檢視所有
auditctl -D 删除清空
開啟一個新的終端,使用某個使用者進行測試
切換會管理者終端,檢視審計資訊。
以下兩個指令的效果是一緻的
-a exit;always exit;行為完成後記錄審計(一般常用),always:總是記錄審計
-F 規則字段
auid為初始登入ID,auid不為0,uid為0,表示登入系統的時候為非root使用者,執行操作時卻變為root,危險行為。
auditctl -a exit, always -F auit!=0 -F uid=0
uid不為0,euid為0,表示執行者是一個非root使用者,但是執行過程中卻是以root的身份執行的,是一個提權操作,危險行為。
auditctl -a exit, always -F uid!=0 -F euid=0
工作中常對/tmp/etc審計,攻擊者常用/tmp 提權
aureport可以用來檢視系統審計日志的彙總資訊,例如aureport -l可以用來檢視login資訊
![Scrapy——6 APP抓包—scrapy架構下載下傳圖檔[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)