audit子系统提供了一种纪录系统安全方面信息的方法,同时能为系统管理员在用户违反系统安全法则或者存在违反的潜在可能时,提供及时的警告信息,这些audit子系统所收集的信息包括:可被审计的事件名称,事件状态(成功或失败),别的安全相关信息。可被审计的事件,通常,这些事件都是定义在系统调用级别的。
审计的软件包默认已经安装,
而且服务一般默认就已经是启动状态
查看audit状态,enabled=1开启审计
如何设置审计策略可以看帮助手册
一个实例
auditctl -l 查看所有
auditctl -D 删除清空
开启一个新的终端,使用某个用户进行测试
切换会管理员终端,查看审计信息。
以下两个命令的效果是一致的
-a exit;always exit;行为完成后记录审计(一般常用),always:总是记录审计
-F 规则字段
auid为初始登录ID,auid不为0,uid为0,表示登录系统的时候为非root用户,执行操作时却变为root,危险行为。
auditctl -a exit, always -F auit!=0 -F uid=0
uid不为0,euid为0,表示执行者是一个非root用户,但是执行过程中却是以root的身份执行的,是一个提权操作,危险行为。
auditctl -a exit, always -F uid!=0 -F euid=0
工作中常对/tmp/etc审计,攻击者常用/tmp 提权
aureport可以用来查看系统审计日志的汇总信息,例如aureport -l可以用来查看login信息
![Scrapy——6 APP抓包—scrapy框架下载图片[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)