linuxaudit审计(2)--audit启动
1、启动audit内核模块
有些系统audit的内核模块时默认关闭的。可以查看/proc/cmdline,看audit=0,如果为0,则默认不启动audit。通过设置/boot/grub2/grub.cfg⽂件,使audit=1,或者去掉
audit=0,然后重启系统,使audit内核模块启动。再次查看/proc/cmdline已修改为audit=1。
如果audit的内核模块启动了,⽤auditctl -s查询enabled为1,但是⽤户空间的auditd守护进程没有运⾏,审计⽇志⽆⼈接管,就会被写到/var/log/messages中。
2、启动auditd守护进程
我们习惯使⽤systemctl start xxx来启动⼀个服务,但是auditd⼿册中,明确指出使⽤rvice命令是唯⼀⼀个正确开启auditd守护进程的⽅式。使⽤systemctl只是enable,status
这两个动作可以。
正常⼀个服务,我们使⽤rvice xx start时都会显⽰Redirecting to /bin/systemctl start xxx.rvice。我们可以通过which rvice来查看这个命令的源⽂件,/usr/sbin/rvice。
这⾥对于不同的情况,有不同的处理。1)/etc/init.d⽬录下有这个服务;2)/usr/libexec/initscripts/legacy-actions⽬录下有这个服务;3)除了以上两种情况,其他情况下会定向
到systemctl cmd xxx.rvice。auditd属于第⼆种情况,/usr/libexec/initscripts/legacy-actions⽬录有auditd⽬录,如下:
linux-xdYUnA:/usr/libexec/initscripts/legacy-actions/auditd # ls
condrestart restart resume rotate stop
1)设置开机启动/不启动
systemctl enable auditd
systemctl disable auditd
2)stop
rvice auditd stop
3) reload
rvice auditd reload
重新加载auditd的配置⽂件/etc/f。使⽤systemctl reload auditd也是⽣效的。
4)rotate
rvice auditd rotate
在/var/log/audit/⽬录下rotate。
5)resume
rvice auditd resume
当⽇志记录停⽌时,⽤于恢复⽇志记录。
6)condrestart
rvice auditd condrestart
壮志凌云什么意思
国际大事当服务正在运⾏时,重启服务。
3、auditd的服务⽂件如下:
[Unit]
Description=Security Auditing Service
DefaultDependencies=no
## f has tcp_listen_port enabled, copy this file to
## /etc/systemd/system/auditd.rvice and add network-online.target
## to the next line so it waits for the network to start before launching.
## 如果在f中已经配置了tcp_listen_port,那么需要在After后⾯增加network-online.target,保证先启动⽹络,后再启动auditd
After=local-fs.target systemd-tmpfiles-tup.rvice
Conflicts=shutdown.target
Before=sysinit.target shutdown.target
RefuManualStop=yes
ConditionKernelCommandLine=!audit=0
Documentation=man:auditd(8) /linux-audit/audit-documentation
[Service]
Type=forking
PIDFile=/var/run/auditd.pid
ExecStart=/sbin/auditd
## To not u augenrules, copy this file to /etc/systemd/system/auditd.rvice
## and comment/delete the next line and uncomment the auditctl line.
## NOTE: augenrules expect any rules to be added to /etc/audit/rules.d/
附件## ungenrules这个⼯具是把/etc/audit/rules.d/⽬录下的规则⽂件,按照顺序加载进来,写⼊到/etc/audit/audit.rules⽂件中。如果不使⽤这个⼯具,下⾯这⼀⾏需要注释或删掉。auditctl那⼀⾏取消注释。
大学生的英文ExecStartPost=-/sbin/augenrules --load
#ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules
ExecReload=/bin/kill -HUP $MAINPID
# By default we don't clear the rules on exit. To enable this, uncomment
千克和吨# the next line after copying the file to /etc/systemd/system/auditd.rvice
## 这个是stop后执⾏的动作。stop.rul主要是 -e 0 disable 和-D删除所有规则
## 如果不删除已经配置好的规则的话,在stop后,⽤auditctl -l查询可以看到有很多规则,并且enabled为1,这样的话,当auditd服务关闭了,但规则还在,那就会有⼤量的⽇志记录在messages中。stop.rules中通过-e 0使audit不⼯作,⽇志也不会记#ExecStopPost=/sbin/auditctl -R /etc/audit/audit-stop.rules
[Install]
WantedBy=multi-ur.target小学思政课教案
4、audit的使能
通过auditctl -s查询可以看到audit的状态,这个是查询audit内核模块的状态。
linux-xdYUnA:/etc/audit # auditctl -s
enabled 0
failure 1
pid 0
rate_limit 0
backlog_limit 8192
lost 219
backlog 0
其中“enabled”这个选项很重要的,如果为0,则audit就不⼯作了,看不到任何审计⽇志,哪怕是系统⽇志messages。所有的规则都不会⽣效,连没有设定规则时,su提权这样
的操作也不会记录。⽆论是使⽤auditctl临设配置规则,还是⽤/etc/audit/audit.rules⽂件永久配置规则,所有规则设定都要在enabled为1时才可以⽣效。
当enabled为2时,则表⽰规则锁定,所有设置都不起作⽤,只有当系统重启后,enabled不为2了才可以。
服务是服务,enable是enable,这两者并没有关系,服务启动或停⽌是针对auditd这个守护进程。auditctl -s查询的enabled的状态为audit内核模块的状态。内核模块主要⽤来获
取审计信息,⽤户态的守护进程主要⽤来收集信息和记录⽇志。enabled为1,服务停⽌,⽇志会记录在messages中;enable为0,服务启动,没有任何审计信息,不会记录⽇志。也就是auditd服务是否启动,决定⽇志记录在哪⾥,启动了,⽇志记录在配置⽂件指定的路径,没有启动,记录在messages⽇志中。enable决定内核是否开始审计,为0,不启动,为1,启动。
可以通过auditctl -e改变状态,0 不使能,1 使能,2 锁定配置。如果在/boot/grub2/grub.cfg⾥配置的a
udit=1,当系统重启后,enable默认为1,如果没有配置audit,则enable为0。
当然了,如果audit的内核模块不加载(即在/boot/grub2/grub.cfg中配置为audit=0),与内核模块交互的auditctl也就⽆法⼯作了,状态当然也⽆法查询。
幻想生活
linux-xdYUnA:~ # auditctl -s
Error - audit support not in kernel
Cannot open netlink audit socket灿烂的反义词