linuxaudit

Ⅰ 如何查看linux系统内核审计是否开启

内核编译时，一般打开NET选项就打开AUDIT选项了。
在系统中查看audit是否打开，root 用户执行：
service auditd status

Ⅱ audit的tar包安装过程中出现两个错误，不知道怎么解决，刚开始学LINUX，不懂，谁可以帮我

没有贴出错误信息
---------------
可能是你的编译目录有问题
linux/audit.h文件一定是有的，没找到
你解包后要进入这个目录的

Ⅲ linux不小心报卸载audit-libs, 系统濒临崩溃中

进入rescue修复模式修复redhat
1. 使用安装启动光盘(Installation boot CD-ROM，可以从boot.img制作)2. 使用其它引导方式的安装启动盘（如usb盘）3. 使用linux第一张安装盘 在boot:提示符后，输入 linux rescue下面就交给你了

Ⅳ linux服务器安全审计怎么弄

材料：

Linux审计系统auditd 套件

步骤：

1. 安装 auditd

   REL/centos默认已经安装了此套件，如果你使用ubuntu server，则要手工安装它：

   sudo apt-get install auditd

   它包括以下内容：

   auditctl :即时控制审计守护进程的行为的工具，比如如添加规则等等。

   /etc/audit/audit.rules :记录审计规则的文件。

   aureport :查看和生成审计报告的工具。

   ausearch :查找审计事件的工具

   auditspd :转发事件通知给其他应用程序，而不是写入到审计日志文件中。

   autrace :一个用于跟踪进程的命令。

   /etc/audit/auditd.conf :auditd工具的配置文件。

2. Audit 文件和目录访问审计

   首次安装auditd后, 审计规则是空的。可以用sudo auditctl -l 查看规则。文件审计用于保护敏感的文件，如保存系统用户名密码的passwd文件，文件访问审计方法：

   sudo auditctl -w /etc/passwd -p rwxa

-w path :指定要监控的路径，上面的命令指定了监控的文件路径 /etc/passwd

-p :指定触发审计的文件/目录的访问权限

rwxa ：指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）

目录进行审计和文件审计相似，方法如下：

$ sudo auditctl -w /proction/

以上命令对/proction目录进行保护。

3.查看审计日志

添加规则后，我们可以查看 auditd 的日志。使用ausearch工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f设定ausearch 调出 /etc/passwd文件的审计内容

4. 查看审计报告

以上命令返回log如下：

time->Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194):cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003syscall=5

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231auid=4294967295 uid=1000 gid=1000euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo"key=(null)

• time :审计时间。

• name :审计对象

• cwd :当前路径

• syscall :相关的系统调用

• auid :审计用户ID

• uid 和 gid :访问文件的用户ID和用户组ID

• comm :用户访问文件的命令

• exe :上面命令的可执行文件路径

以上审计日志显示文件未被改动。

Ⅳ linux系统从图形界面切换到命令行模式下自动跳出audit（1392389.123）：avc： denied{execute_no_trans}

ctrl + C 强制停止 查看一下当前开启的服务

Ⅵ linux tail -f securenet.log和tail -f securenet_audit.log分别是什么意思

输出这两个文件的后面部分

Ⅶ aix 是否具有审计守护进程 类似于linux下面的auditd

自带个审核守护进程啊，他们都是AIX和Linux都属于类Unix，很多进程都是相同的啊。
进程开启和关闭的具体步骤如下：
1、定义 /etc/security/audit/config文件中的class节，单独定义一个类，名称为custom，将需要审计的各种事件依次列出，格式如下：
classes ：
Custom ＝ PASSWORD_Change，USER_SU
定义使用这些审计的用户，在同一个文件的user节中定义：
格式如下：
users:
Root = custom
2、增加一个新的文件系统，挂接点为：/audit
3、启动审计程序：audit start
4、系统自动在/audit目录下生成bin1、bin2、trail三个文件
5、查看审计情况
1）如果查看近期的审计情况，执行命令：auditpr –v < bin1 或者 auditpr –v < bin2
2）如果查看历史审计情况，执行命令：auditpr –v < trail
其中，bin1、bin2是两个循环日志，交替使用，其内容定期刷新内容到trail文件中。
6、关闭审计：audit shutdown
7、注意：audit不自动启动、关闭，因此需要在启动脚本和停止脚本中分别增加audit start/audit shutdown，使得每次系统启动/关闭后，自动运行/关闭审计功能。
注意：audit文件在/usr/sbin目录下。

Ⅷ linux audit.rules怎么审计所有操作

这里首先介绍auditctl的应用，具体使用指南查看man auditctl。auditctl的man 描述说明这个工具主要是用来控制audit系统行为，获取audit系统状态，添加或者删除audit系统的规则。控制audit系统行为和获取audit系统状态参数：
-s 或者auditd 状态 auditctl -s 显示：AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0