linux命令审计

‘壹’ linux audit.rules怎么审计所有操作

这里首先介绍auditctl的应用，判型闭具体使用指南查看man auditctl。auditctl的man 描述说明这个工具掘裂主要是租如用来控制audit系统行为，获取audit系统状态，添加或者删除audit系统的规则。控制audit系统行为和获取audit系统状态参数：
-s 或者auditd 状态 auditctl -s 显示：AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0

‘贰’ Linux下记录所有用户的操作命令，以方便后期审计

再后面追加：

保存退出后，执行 source /etc/profile 让配置生效。昌此

所有操作命令记录存放在/var/log/cmd/{用户}/目录下，即使是同一个终端几个不同的窗口，在该窗口退出或关闭时，该用户目录下会生产一个文件，多个窗口会生耐激迅产多个文件，最后只要查看这些文件内容，就可以看出铅判历史操作了。

本文转自： https://blog.51cto.com/369369/1732164

‘叁’ Linux中与安全审计有关的函数

我的答案是最正确的 请采纳我的内核审计系统的接口函数在Linux内核需要输出审计信息时，它先调用函数audit_log_start创建缓冲区。接着，调用函数audit_log或audit_log_format写缓冲区写入审计信息，最后调用函数audit_log_end发送审计信息，并释放缓冲区。这三个函数分别说明如下：1．函数audit_log_start 函数audit_log_start申请审计缓冲区，如果任务当前在系统调用中，系统调用被标识为可审计的，并在系统调用退出时，产生一条审计记录。函数audit_log_start的参数ctx为审计上下文结构实例；参数gfp_mask为分配内存的类型，如：__GFP_WAIT表示可以等待和重调度；参数type为审计消息类型。如果缓存区申请成功，它返回审计缓冲区的指针，否则返回NULL表示错误。函数audit_log_start申请审计缓冲区，当审计缓冲区链表的缓冲区个数超过上限时，当前进程需要等待用户空间的后台进程将审计消息写入log文件，直到缓冲区个数小于上限值为止。函数audit_log_start在申请并初始化审计缓冲区后，给缓冲区加时间戳和审计记录序列号。函数audit_log_start列出如下（在linux26/kernel/audit.c中）：//声明等待队列头，用于等待审计消息被后台进程写入log文件static DECLARE_WAIT_QUEUE_HEAD(audit_backlog_wait);struct audit_buffer *audit_log_start(struct audit_context *ctx, gfp_t gfp_mask,int type){struct audit_buffer*ab= NULL;struct timespect;unsigned intserial;int reserve;unsigned long timeout_start = jiffies; //开始的时间if (!audit_initialized)//如果已初始化，就直接退出return NULL;if (unlikely(audit_filter_type(type)))return NULL;if (gfp_mask & __GFP_WAIT)reserve = 0;elsereserve = 5; /*允许调用者多出5个条目*/ //当链表中审计缓冲区数超出上限时，进程等待auditd处理链表中缓冲区while (audit_backlog_limit&& skb_queue_len(&audit_skb_queue) > audit_backlog_limit + reserve) {if (gfp_mask & __GFP_WAIT && audit_backlog_wait_time && time_before(jiffies, timeout_start + audit_backlog_wait_time)) {/* 等待后台进程auditd从队列中处理部分缓冲区 */DECLARE_WAITQUEUE(wait, current);set_current_state(TASK_INTERRUPTIBLE); //设置当前进程的状态为可中断等待状态add_wait_queue(&audit_backlog_wait, &wait); //将当前进程加入等待队列if (audit_backlog_limit && skb_queue_len(&audit_skb_queue) > audit_backlog_limit)schele_timeout(timeout_start + audit_backlog_wait_time - jiffies);//调度__set_current_state(TASK_RUNNING);//设置当前进程为运行状态remove_wait_queue(&audit_backlog_wait, &wait);continue;} //检查每秒发送的记录数不能超过上限，以防止受非法攻击if (audit_rate_check())printk(KERN_WARNING "audit: audit_backlog=%d > " "audit_backlog_limit=%d\n", skb_queue_len(&audit_skb_queue), audit_backlog_limit);audit_log_lost("backlog limit exceeded");audit_backlog_wait_time = audit_backlog_wait_overflow;wake_up(&audit_backlog_wait);return NULL;}ab = audit_buffer_alloc(ctx, gfp_mask, type);//申请审计缓冲区if (!ab) {audit_log_lost("out of memory in audit_log_start");return NULL;}//得到当前时间存入t，计算审计记录的序列号，存入serialaudit_get_stamp(ab->ctx, &t, &serial); //将时间戳和序列号写入审计记录audit_log_format(ab, "audit(%lu.%03lu:%u): ", t.tv_sec, t.tv_nsec/1000000, serial);return ab;}函数audit_buffer_alloc申请审计缓冲区，先尝试从空闲链表上取下一个缓冲区，如果空闲链表中没有，就分配一个缓冲区。然后，填充netlink消息头。该函数列出如下： static DEFINE_SPINLOCK(audit_freelist_lock);//定义自旋锁，用于锁住链表audit_freeliststatic struct audit_buffer * audit_buffer_alloc(struct audit_context *ctx,gfp_t gfp_mask, int type){unsigned long flags;struct audit_buffer *ab = NULL;struct nlmsghdr *nlh; //从空闲链表中得到一个缓冲区spin_lock_irqsave(&audit_freelist_lock, flags);//加锁if (!list_empty(&audit_freelist)) {ab = list_entry(audit_freelist.next,struct audit_buffer, list);list_del(&ab->list);--audit_freelist_count;}spin_unlock_irqrestore(&audit_freelist_lock, flags);//释放锁 //如果空闲链表中没有空闲缓冲区成员，就分配一个缓冲区if (!ab) {ab = kmalloc(sizeof(*ab), gfp_mask);if (!ab)goto err;}ab->skb = alloc_skb(AUDIT_BUFSIZ, gfp_mask);//分配套接字缓冲区if (!ab->skb)goto err;ab->ctx = ctx;ab->gfp_mask = gfp_mask; //扩展套接字缓冲区skb的已使用数据区，将netlink消息头数据nlmsghdr加到skbnlh = (struct nlmsghdr *)skb_put(ab->skb, NLMSG_SPACE(0));nlh->nlmsg_type = type;nlh->nlmsg_flags = 0;nlh->nlmsg_pid = 0;nlh->nlmsg_seq = 0;return ab;err:audit_buffer_free(ab);return NULL;}2．函数audit_log_format函数audit_log_format将一个审计消息按格式写入审计缓冲区，参数ab为审计缓冲区，参数fmt为格式化的字符串。其列出如下：void audit_log_format(struct audit_buffer *ab, const char *fmt, ...){va_list args;if (!ab)return;va_start(args, fmt);audit_log_vformat(ab, fmt, args);va_end(args);}函数audit_log_vformat将一个审计消息按格式写入套接字缓冲区中，如果审计缓冲区没有足够的空间，就扩展套接字缓冲区的数据域。由于printk缓冲区为1024，扩展的套接字缓冲区最小应为1024。函数audit_log_vformat列出如下： static void audit_log_vformat(struct audit_buffer *ab, const char *fmt, va_list args){int len, avail;struct sk_buff *skb;va_list args2;if (!ab)return;BUG_ON(!ab->skb);skb = ab->skb;avail = skb_tailroom(skb);//计算套接字缓冲区的空闲数据空间if (avail == 0) {//如果套接字缓冲区没有空闲数据空间，扩展空间avail = audit_expand(ab, AUDIT_BUFSIZ);// AUDIT_BUFSIZ为1024，if (!avail)goto out;}va_(args2, args);len = vsnprintf(skb->tail, avail, fmt, args);//将信息写入到缓冲区if (len >= avail) {//如果实际信息长度比可用的缓冲区大，扩展空间/* 由于printk缓冲区是1024，因此，扩展空间最少为1024 */avail = audit_expand(ab,max_t(unsigned, AUDIT_BUFSIZ, 1+len-avail));if (!avail)goto out;len = vsnprintf(skb->tail, avail, fmt, args2); //将审计信息写入到缓冲区}if (len > 0)skb_put(skb, len); //将写入信息的数据缓冲区附加到skb上out:return;}
函数audit_expand扩展在审计缓冲区中的套接字缓冲区，扩展成功，返回可用的空间大小，扩展失败返回0，表示没有空间。参数ab表示审计缓冲区的指针，参数extra表示加到套接字缓冲区skb尾部的缓冲区空间大小。函数audit_expand列出如下：static inline int audit_expand(struct audit_buffer *ab, int extra){struct sk_buff *skb = ab->skb;int ret = pskb_expand_head(skb, skb_headroom(skb), extra, ab->gfp_mask);if (ret < 0) {audit_log_lost("out of memory in audit_expand");return 0;}return skb_tailroom(skb);//返回可用的缓冲区空间大小}3．函数audit_log_end当进程完成了将审计记录写入审计缓冲区的操作时，它调用函数audit_log_end将套接字缓冲区中的审计记录数据发送给用户空间后台进程，由后台进程写入到log文件。如果审计后台进程存在，使用netlink机制传输数据，由审计后台将套接字缓冲区中的审计记录数据写入审计文件audit.log中；如果审计后台不存在，使用函数printk记录数据，然后由日志后台进程将数据写入到日志文件中。当数据发送完成后，函数audit_log_end唤醒等待队列kauditd_wait。有些进程因为审计套接字缓冲区链表上的缓冲区数量超过上限而在队列kauditd_wait等待，当其他进程发送了数据时，应唤醒这些等待进程。函数audit_log_end列出如下：void audit_log_end(struct audit_buffer *ab){if (!ab)return;if (!audit_rate_check()) {//检查审计系统的传输速度，如果netlink机制传输速度超过上限，则返回错误audit_log_lost("rate limit exceeded");} else {if (audit_pid) {//如果审计后台的进程ID存在，使用netlink机制传输数据struct nlmsghdr *nlh = (struct nlmsghdr *)ab->skb->data;nlh->nlmsg_len = ab->skb->len - NLMSG_SPACE(0);skb_queue_tail(&audit_skb_queue, ab->skb);ab->skb = NULL;wake_up_interruptible(&kauditd_wait);//发送了数据，唤醒等待队列} else {//使用printk记录数据printk(KERN_NOTICE "%s\n", ab->skb->data + NLMSG_SPACE(0));}}audit_buffer_free(ab);}

‘肆’ ELK linux主机操作命令审计

PROMPT_COMMAND环境变量的作用是，在每一次执行命令之前都会执行此环境变量。

审计的原理是：

‘伍’ linux服务器安全审计怎么弄

材料：

Linux审计系统auditd 套件

步骤：

1. 安装 auditd

   REL/centos默认已经安装了此套件，如果你使用ubuntu server，则要手工安装它：

   sudo apt-get install auditd

   它包括以下内容：

   auditctl :即时控制审计守护进程的行为的工具，比如如添加规则等等。

   /etc/audit/audit.rules :记录审计规则的文件。

   aureport :查看和生成审计报告的工具。

   ausearch :查找审计事件的工具

   auditspd :转发事件通知给其他应用程序，而不是写入到审计日志文件中。

   autrace :一个用于跟踪进程的命令。

   /etc/audit/auditd.conf :auditd工具的配置文件。

2. Audit 文件和目录访问审计

   首次安装auditd后, 审计规则是空的。可以用sudo auditctl -l 查看规则。文件审计用于保护敏感的文件，如保存系统用户名密码的passwd文件，文件访问审计方法：

   sudo auditctl -w /etc/passwd -p rwxa

-w path :指定要监控的路径，上面的命令指定了监控的文件路径 /etc/passwd

-p :指定触发审计的文件/目录的访问权限

rwxa ：指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）

目录进行审计和文件审计相似，方法如下：

$ sudo auditctl -w /proction/

以上命令对/proction目录进行保护。

3.查看审计日志

添加规则后，我们可以查看 auditd 的日志。使用ausearch工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f设定ausearch 调出 /etc/passwd文件的审计内容

4. 查看审计报告

以上命令返回log如下：

time->Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194):cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003syscall=5

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231auid=4294967295 uid=1000 gid=1000euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo"key=(null)

• time :审计时间。

• name :审计对象

• cwd :当前路径

• syscall :相关的系统调用

• auid :审计用户ID

• uid 和 gid :访问文件的用户ID和用户组ID

• comm :用户访问文件的命令

• exe :上面命令的可执行文件路径

以上审计日志显示文件未被改动。

‘陆’ linux操作系统怎么开启日志审计功能

对于Linux操作审计，当前主要有两种形式。
一种是，通过收取linux操作系统上的日志，来进行审计。优点是全面，内容是零散，缺乏直观性，一般需要专业的软件来收集和呈现，同时由于容易被删除，可能导致关键审计信息缺失问题，以及由于共享账号问题，导致无法定位到人。
另一种是，通过碉堡堡垒机软件来实现审计。优点是全面直观，可以关联到人，确定是只能对远程运维操作进行审计，无法对直接登录操作进行审计。

‘柒’ Linux系统上记录MYSQL操作的审计日志

    根据笔者上一篇文章—Linux系统上记录用户操作的审计日志 。本文来利用相同的方法记录MYSQL操作的审计日志。

    使用用mysql工具连接MySQL server的所有操作会默认记录到~/.mysql_history文件中，这个文件会把所有操作记录下来，包括创建用户和修改用户的明文密码，这在生产系统上是不安全的。如果不想保存，仅仅删除是不行的（文件不存在会再建立），要直接将其软连接到垃圾箱。

     ln  -s  /dev/null  ~/.mysql_history

    利用上一篇文章相同的方法记录MYSQL操作的审计日志，是因为mysql工具本身就是有一个shell, 每次mysql连接退出后，都会把此次操作的信息记录到~/.mysql_history文件中。那么可以重新定义MYSQL_HISTFILE环境变量来保存mysql日志。

    先看置于/etc/profile.d目录下的环境变量的脚本mysql_history.sh，和loginlog类似。

      在测试时，发现平时使用的普通用户在操作mysql后无法记录，而root用户（平时没有操作过mysql）可以记录成功。后来在在~/.mysql_history文件找到了操作记录，估计是这个文件还存在的原因，删除后才记录到新的MYSQL_HISTFILE定义的路径。

      和loginlog一样，需要定期删除过期日志，以下脚本置于/etc/cron.weekly 目录下。

        delete_time=15

        find /opt/mysqllog/  -mtime +$delete_time -name '*.log' -exec rm -r {} \;

      但是相比于loginlog，mysqllog有两点暂时没有解决。

    1、定义最大的记录条数history.maxSize不知在哪定义，my.cnf?

    2、每一条命令的时间记录添加。

‘捌’ 利用Linux系统Shell命令编写脚本实现对用户行为的监控和审计功能. 求大神怎么写啊

.bash_history记录了你的一切，呵呵呵。
首先，执行下面命令给.bash_history文件加上只能追加的形式进行记录
chattr +a /home/peter/.bash_history
lsattr /home/peter/.bash_history
然后，执行下面指令，改埋修改bash以追加的方式忘给.bash_history文件中写入内容
shopt -s histappend
最后，调用下面指令使操作毕橡命令实时写入到核数蚂.bash_history 文件中
PROMPT_COMMAND =" history -a;$PROMPT_COMMAND "
当然还要活用这几个命令:ac, who, last, lastlog, w, sa, lastcomm等。

‘玖’ 如何配置linux审计功能部署

java不谈灶用做任何改动就可以部署到linux系统，java编译成孙指*.class文件只需要虚拟机的支持，你只要在linux环境下装一个jdk就OK了，然后配置一下环境变量。 然后java的class文件或者打包则侍配好的*.jar文件考到linux目录下就可以用了.

‘拾’ Linux自带的审计功能

Linux自带的script命令，可以记录终端的输出，用来完成简单的审计功能或肆

这样用户登陆后执行的操作都会记录到/mnt/log/script/*.log（目录自己根据服务器目录定义）里，这里把用户ID 大于1000的都记录消团羡拿拍下操作。