應用安全-安全審計日志目錄 /var/log/audit/audit.log

[root@localhost audit]# cd /etc/audit/
[root@localhost audit]# ls
auditd.conf audit.rules rules.d

添加審計規則

auditctl -w /etc/passwd -p wa

監視/etc/passwd文件被寫、修改文件屬性的操作，并記錄

auditctl -w /etc/sudoers -p wa

監視/etc/sudoers文件被寫、修改文件屬性的操作，并記錄

auditctl -w /var/lib/mysql -p wa

監視/var/lib/mysql 文件被寫、修改文件屬性的操作，并記錄

auditctl -w /var/log/secure -p wa

監視/var/log/secur 文件被寫、修改文件屬性的操作，并記錄

-w 監控文件路徑
-p 監控文件篩選 r(讀) w(寫) x(執行) a(屬性改變)

審計audit總結

#查看審計規則

#auditctl -l

#添加審計規則

#-w path : 指定要監控的路徑，上面的命令指定了監控的文件路徑 /etc/passwd

#-p : 指定觸發審計的文件/目錄的訪問權限

#-k 給當前這條監控規則起個名字，方便搜索過濾

#rwxa ： 指定的觸發條件，r 讀取權限，w 寫入權限，x 執行權限，a 屬性（attr）

#auditctl -w /etc/passwd -p rwxa

#查看審計日志

#ausearch -f /etc/passwd

#生成簡要報告

#aureport

注意：用
auditd 添加審計規則是臨時的，立即生效，但是系統重啟失效。重啟仍然有效，需要在 /etc/audit/audit.rules 文件中添加規則，然后重啟服務：
service auditd restart 或者 service auditd
reload

總結

以上是生活随笔為你收集整理的linux系统安全审计简单设置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。