audit作用及使用说明

经典word整理文档，仅参考，转Word此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！audit作用及使用说明2010-11-1609:36一.audit介绍audit是linux系统中用于记录用户底层调用情况的系统,如记录用户执行的open,exit等系统调用.并会将记录写到日志文件中.audit可以通过使用auditctl命令来添加或删除audit规则.设置针对某个用户进行记录,或针对某个进程的进行记录.audit主要包含2个命令:auditdaudit服务进程auditctlaudit规则设置工具二.audit的安装GTES10,10.5,11版本默认都已安装audit包,可以直接使用.2.audit可以从源码安装.源码下载地址:/sgrubb/audit/安装方法:#tarzxfaudit-1.6.2.tgz#cdaudit-1.6.2#aclocal&&autoconf&&autoheader&&automake#./configure--sbindir=/sbin--mandir=/usr/share/man--libdir=/lib#make#makeinstall三.audit相关工具介绍auditd是audit系统的用户空间程序.主要作用是将audit记录信息写到磁盘上.audit在启动时会读取2个配置文件:/etc/audit/auditd.confaudit配置文件/etc/audit/audit.rulesaudit规则文件audit安装后,会生成这2个文件.auditd使用方法:auditd[-f]-fauditd在前台运行,调试时使用.auditctl用于对kernel中的audit进行控制,可以用来获取audit状态和增删audit规则.命令使用方法:auditctl[options]-b<backlog>设置audit缓冲大小(默认为64).若缓冲占满了,则kernel会发出一个失败标记.-e[0|1]启用/禁用audit审核.-f[0..2]设置失败标记的等级,有0,1,2三个值,0是不输出日志,1为输出printk日志,2为最高级,会大量输出日志信息.这个选项用于设置audit获得错误的等级.错误标记的触发条件有:传送错误到用户空间audit进程,未处理事务超出范围,超出内核内存范围,超出速率范围.默认值为1.在安全环境下可以设置为2.-h帮助-i从文件读取audit规则时,忽略错误.-l显示所有规则.-k<key>为一条audit规则设置一个关键字.关键字可以是31个字节长的字符串.用于过滤audit记录.-mtext向audit系统发送一个信息.只限root用户使用.-r<rate>设置每秒的信息速率.如果实际信息数量超过这个速率,则将产生一个失败标记.-R<file>从一个文件读取规则.每行只有一条规则.规则文件的所属用户必须是root,并且其他用户没有读取权限.文件里可以使用以#开头的注释行.-s输出状态信息.-a<l,a>将规则添加到一个列表的结尾.l表示列表,a表示这个规则的动作.下面是可用的列表名称:task添加一条规则到每一个任务列表.这个规则列表只在一个任务建立的时候使用(当父进程调用fork(),clone()时).entry添加一条规则到系统调用entry列表.exit添加一条规则到系统调用exit表.user添加一条到用户信息过滤表.在信息被传送到audit进程前,kernel使用这个列表在用户空间过滤事件信息,可以使用的字段有:uid,auid,gid,pid.exclude添加一条规则到事件类型排除表.这个表用于过滤掉不希望显示的信息.如:不希望显示任何avc的信息,则在此列表中添加上它.下面介绍在规则中可以使用的动作(a):never不产生audit记录.always分配一个audit上下文,将它添加到系统调用开始时,并在系统调用退出时,写出一条记录信息.-A<l,a>添加一条规则到列表的开头.-d<l,a>从列表中删除一条规则.-D删除所有规则.-S[Syscallnameornumber|all]可以使用系统调用名称或数字.也可以使用all.也可以在一条规则中指定多个系统调用,以提升效率.-F[n=v|n!=v|n<v|n>v|n<=v|n>=v]建立规则字段:名称,操作,参数.一个命令行可以有64个字段,每个字段必须以-F开头.每个字段将会触发一个audit记录.有=,!=,<,>,<=,>=运算符可以使用.可以使用的字段有:a0,a1,a2,a34个数字参数用于表示系统调用.不可以使用字符串.arch系统调用的cpu架构.可以使用'uname-m'获得这个值.若不清楚机器的架构,但需要使用32位系统调用表,而机器也支持32位,则仍可使用32位的系统调用表.auid用户登录的id.b32cpu架构.64位系统可以使用b64.devmajor设备的主号码devminor设备的从号码egid组ideuid用户idexit系统调用的返回值fsgid文件系统组idfsuid文件系统用户idgid组idinodeIndoe号key设置过滤关键字msgtype用于匹配信息类型码.仅用于排除过滤表中.obj_user资源的SElinux的用户obj_role资源的SElinux的角色obj_type资源的SElinux的类型obj_lev_low资源的SElinux的低层obj_lev_high资源的SElinux的高层path被监视的文件的全路径.仅用于exit表.pers操作系统的编码pid进程idppid进程的父idsubj_user程序的SElinux的用户subj_role程序的SElinux的角色subj_type程序的SElinux的类型subj_sen程序的SElinux的敏感度subj_clr程序的SElinux的清除率sgidsgid位success如果返回值>=0,则为true或yes,否则为false/no.编写规则时,使用1代表true/yes,使用0代表false/no.suidsuid位uid用户id-w<path>在指定路径插入一个记录器,不可以是最上层目录,这是kernel所禁止的.并且不可以使用通配符.记录器会记录inode内部的操作过程.如果在一个目录中放置一个记录器,会记录到各种文件事件.但是,那只是修改了元数据.这可能会丢失一小部分事件.如果需要监视目录中的所有文件,建议为每个文件放置一个记录器.记录器不同于audit规则,对性能没有影响.-W<path>从指定路径中移出一个记录器.四.audit示例#ps-ef|grepaudit若系统尚未启动audit,手动启动audit.#auditd现在添加audit规则:先查看audit运行状态#auditctl-sAUDIT_STATUS:enabled=1flag=1pid=1585rate_limit=0backlog_limit=256lost=0backlog=0查看已有的audit规则#auditctl-lNorules添加一条audit规则,记录maj用户的所用open系统调用#auditctl-aentry,always-Sopen-Fuid=500在另一个终端以maj用户登录,登录后执行一个ls命令即可.删除这条audit规则#auditctl-dentry,always-Sopen-Fuid=500查看audit日志,里面有下面类似内容:type=SYSCALLmsg=audit(1192418517.442:12):arch=40000003syscall=5success=yesexit=3a0=3fc3b7a1=0a2=ffffffffa3=0items=1pid=31832auid=4294967295uid=500gid=500euid=500suid=500fsuid=500egid=500sgid=500fsgid=500comm="ls"exe="/bin/ls"typ