linuxaudit

Ⅰ 如何查看linux系統內核審計是否開啟

內核編譯時，一般打開NET選項就打開AUDIT選項了。
在系統中查看audit是否打開，root 用戶執行：
service auditd status

Ⅱ audit的tar包安裝過程中出現兩個錯誤，不知道怎麼解決，剛開始學LINUX，不懂，誰可以幫我

沒有貼出錯誤信息
---------------
可能是你的編譯目錄有問題
linux/audit.h文件一定是有的，沒找到
你解包後要進入這個目錄的

Ⅲ linux不小心報卸載audit-libs, 系統瀕臨崩潰中

進入rescue修復模式修復redhat
1. 使用安裝啟動光碟(Installation boot CD-ROM，可以從boot.img製作)2. 使用其它引導方式的安裝啟動盤（如usb盤）3. 使用linux第一張安裝盤 在boot:提示符後，輸入 linux rescue下面就交給你了

Ⅳ linux伺服器安全審計怎麼弄

材料：

Linux審計系統auditd 套件

步驟：

1. 安裝 auditd

   REL/centos默認已經安裝了此套件，如果你使用ubuntu server，則要手工安裝它：

   sudo apt-get install auditd

   它包括以下內容：

   auditctl :即時控制審計守護進程的行為的工具，比如如添加規則等等。

   /etc/audit/audit.rules :記錄審計規則的文件。

   aureport :查看和生成審計報告的工具。

   ausearch :查找審計事件的工具

   auditspd :轉發事件通知給其他應用程序，而不是寫入到審計日誌文件中。

   autrace :一個用於跟蹤進程的命令。

   /etc/audit/auditd.conf :auditd工具的配置文件。

2. Audit 文件和目錄訪問審計

   首次安裝auditd後, 審計規則是空的。可以用sudo auditctl -l 查看規則。文件審計用於保護敏感的文件，如保存系統用戶名密碼的passwd文件，文件訪問審計方法：

   sudo auditctl -w /etc/passwd -p rwxa

-w path :指定要監控的路徑，上面的命令指定了監控的文件路徑 /etc/passwd

-p :指定觸發審計的文件/目錄的訪問許可權

rwxa ：指定的觸發條件，r 讀取許可權，w 寫入許可權，x 執行許可權，a 屬性（attr）

目錄進行審計和文件審計相似，方法如下：

$ sudo auditctl -w /proction/

以上命令對/proction目錄進行保護。

3.查看審計日誌

添加規則後，我們可以查看 auditd 的日誌。使用ausearch工具可以查看auditd日誌。

sudo ausearch -f /etc/passwd

-f設定ausearch 調出 /etc/passwd文件的審計內容

4. 查看審計報告

以上命令返回log如下：

time->Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194):cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003syscall=5

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231auid=4294967295 uid=1000 gid=1000euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo"key=(null)

• time :審計時間。

• name :審計對象

• cwd :當前路徑

• syscall :相關的系統調用

• auid :審計用戶ID

• uid 和 gid :訪問文件的用戶ID和用戶組ID

• comm :用戶訪問文件的命令

• exe :上面命令的可執行文件路徑

以上審計日誌顯示文件未被改動。

Ⅳ linux系統從圖形界面切換到命令行模式下自動跳出audit（1392389.123）：avc： denied{execute_no_trans}

ctrl + C 強制停止 查看一下當前開啟的服務

Ⅵ linux tail -f securenet.log和tail -f securenet_audit.log分別是什麼意思

輸出這兩個文件的後面部分

Ⅶ aix 是否具有審計守護進程 類似於linux下面的auditd

自帶個審核守護進程啊，他們都是AIX和Linux都屬於類Unix，很多進程都是相同的啊。
進程開啟和關閉的具體步驟如下：
1、定義 /etc/security/audit/config文件中的class節，單獨定義一個類，名稱為custom，將需要審計的各種事件依次列出，格式如下：
classes ：
Custom ＝ PASSWORD_Change，USER_SU
定義使用這些審計的用戶，在同一個文件的user節中定義：
格式如下：
users:
Root = custom
2、增加一個新的文件系統，掛接點為：/audit
3、啟動審計程序：audit start
4、系統自動在/audit目錄下生成bin1、bin2、trail三個文件
5、查看審計情況
1）如果查看近期的審計情況，執行命令：auditpr –v < bin1 或者 auditpr –v < bin2
2）如果查看歷史審計情況，執行命令：auditpr –v < trail
其中，bin1、bin2是兩個循環日誌，交替使用，其內容定期刷新內容到trail文件中。
6、關閉審計：audit shutdown
7、注意：audit不自動啟動、關閉，因此需要在啟動腳本和停止腳本中分別增加audit start/audit shutdown，使得每次系統啟動/關閉後，自動運行/關閉審計功能。
注意：audit文件在/usr/sbin目錄下。

Ⅷ linux audit.rules怎麼審計所有操作

這里首先介紹auditctl的應用，具體使用指南查看man auditctl。auditctl的man 描述說明這個工具主要是用來控制audit系統行為，獲取audit系統狀態，添加或者刪除audit系統的規則。控制audit系統行為和獲取audit系統狀態參數：
-s 或者auditd 狀態 auditctl -s 顯示：AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0