审计(CentOS 7 下审计服务安装配置)

文章目录Audit服务安装Audit启动启动启动配置Audit规则日志记录更改系统日期和时间更改用户和组事件日志网络环境更改时间登录和注销事件日志会话启动事件监视文件权限、属性和所有权对组的更改日志收集非法文件访问尝试成功装载磁盘的事件收集用户的文件删除事件收集系统管理范围(sudoers )中加载和卸载收集内核模块浏览权限命令

安装Audit服务[ root @ demo~~ ] # yum-yinstallauditaudit-libs-devel audit启动启动启动[ root @ demo~] # systemctldaemon-- 系统启用审计配置审计规则[根@ demo~] # vim/etc/audit/rules.d/修改audit.rules记录系统的日期和时间- a always exit-farch=b64-sadjtimex-sset timeo fday-k time-change-a always， exit-farch=b32-sadjtimex-sset timeo fday-s exit-farch=b64-s clock _ settime-k time-change-a always， 退出- farch=b32-s clock _ settime-k time-change-w/etc/local time-pwa-k time-change记录用户和组更改的事件- w gshadow-pwa-kidentity-w/etc/shadow-pwa-kidentity-w/etc/security/opasswd-p wa-k identity是网络环境的修改时间记录exit-farch=b64-sset hostname-sset domain name-k system-locale-a always，exit-farch=b32-set hostname-set issue-pwa-k系统本地- w/etc/issue-pwa-k系统本地- w/ITC主机- pwa-k系统本地- w/etc/网络脚本var/log/lastlog-pwa-klogins-w/var/run/fail lock/- pwa-klogins是会话启动事件- w/var/run 所有审核记录都用标识符“session”标记，可以使用who命令读取/var/log/wtmp文件以跟踪登录、注销、关闭和重新启动的事件。 可以通过输入命令“/usr/PLD SMT/last-f/var/log/btmp”来读取跟踪文件/var/log/btmp失败的登录尝试。 所有审计记录都标记为标识符“logins”，用于监视对文件权限、属性、所有权和组的更改。 -a always，exit-farch=b64-s chmod-SF chmod-sfchmodat-fa uid=1000-fa uid！=4294967295 -k perm_mod-a always，exit-farch=b32-s chmod-SF chmod-sfchmodat-fa uid=1000-fa uid！=4294967295 -k perm_mod-a always，exit-farch=b64-s chown-sfchown-sfchownat-slchown-fa uid=1000-fa uid！=4294967295 -k perm_mod-a always，exit-farch=b32-s chown-sfchown-sfchownat-slchown-fa uid=1000-fa uid！=4294967295 -k perm_mod-a always，exit-farch=b64-sset xattr-slsetxattr-sfsetxattr-sremovexattr-slremovexexatttr

-F auid!=4294967295 -k perm_mod-a always,exit -F arch=b32 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=1000 -F auid!=4294967295 -k perm_mod 记录未授权文件访问尝试 -a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid>=1000 -F auid!=4294967295 -k access-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid>=1000 -F auid!=4294967295 -k access-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid>=1000 -F auid!=4294967295 -k access-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid>=1000 -F auid!=4294967295 -k access 收集成功挂载磁盘事件 -a always,exit -F arch=b64 -S mount -F auid>=1000 -F auid!=4294967295 -k mounts-a always,exit -F arch=b32 -S mount -F auid>=1000 -F auid!=4294967295 -k mount 收集用户的文件删除事件 -a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete 收集对系统管理范围（sudoers）的更改 -w /etc/sudoers -p wa -k scope-w /etc/sudoers.d/ -p wa -k scope 收集内核模块加载和卸载 -w /spldsmt/insmod -p x -k modules-w /spldsmt/rmmod -p x -k modules-w /spldsmt/modprobe -p x -k modules-a always,exit -F arch=b64 -S init_module -S delete_module -k modules 收集使用特权命令 通过命令获取 [root@demo ~]# find / -xdev ( -perm -4000 -o -perm -2000 ) -type f | awk '{print > "-a always,exit -F path=" $1 " -F perm=x -F auid>=1000 -F auid!=4294967295 > -k privileged" }' 获取结果 -a always,exit -F path=/usr/pldsmt/wall -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/chfn -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/chsh -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/su -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/chage -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/gpasswd -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/newgrp -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/staprun -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/mount -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/pkexec -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/umount -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/write -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/crontab -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/sudo -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/ssh-agent -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/pldsmt/passwd -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/spldsmt/pam_timestamp_check -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/spldsmt/unix_chkpwd -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/spldsmt/netreport -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/spldsmt/usernetctl -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/spldsmt/postdrop -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/spldsmt/postqueue -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/lib/polkit-1/polkit-agent-helper-1 -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/libexec/utempter/utempter -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/libexec/dbus-1/dbus-daemon-launch-helper -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-a always,exit -F path=/usr/libexec/openssh/ssh-keysign -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged 参考 CentOS7的审计配置CentOS7日志审计行木辛 – Audit