欢乐颂小说结局是什么,大主宰天蚕土豆,已完结小说排行榜

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

linux審計文件命令 linux開啟審計功能

Linux 主機(jī)審計

為西安等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及西安網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都網(wǎng)站建設(shè)、網(wǎng)站制作、西安網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

Linux操作系統(tǒng)可以通過設(shè)置日志文件可以對每個用戶的每一條命令進(jìn)行紀(jì)錄，不過這一功能默認(rèn)是沒有打開的。

開啟這個功能的過程：

# touch /var/log/pacct

# action /var/log/pact

也可以用自已的文件來代替/var/log/pacct這個文件。但必須路徑和文件名的正確。

sa命令與 ac 命令一樣，sa 是一個統(tǒng)計命令。該命令可以獲得每個用戶或每個命令的進(jìn)程使用的大致情況，并且提供了系統(tǒng)資源的消費(fèi)信息。在很大程度上，sa 又是一個記帳命令，對于識別特殊用戶，特別是已知特殊用戶使用的可疑命令十分有用。另外，由于信息量很大,需要處理腳本或程序篩選這些信息。

lastcomm命令, 與 sa 命令不同，lastcomm 命令提供每一個命令的輸出結(jié)果，同時打印出與執(zhí)行每個命令有關(guān)的時間印戳。就這一點而說，lastcomm 比 sa 更有安全性。如果系統(tǒng)被入侵，請不要相信在 lastlog、utmp、wtm中記錄的信息，但也不要忽略，因為這些信息可能被修改過了。另外有可能有人替換了who程序來掩人耳目。通常，在已經(jīng)識別某些可疑活動后，進(jìn)程記帳可以有效的發(fā)揮作用。使用 lastcomm 可以隔絕用戶活動或在特定時間執(zhí)行命令。

3、使用logrorate對審計文件管理

/var/log/utmp，/var/log/wtmp和/var/log/pacct文件都是動態(tài)的數(shù)據(jù)文件。wtmp和pacct文件是在文件尾部不斷地增加記錄。在繁忙的網(wǎng)絡(luò)上，這些文件會變得很大。Linux提供了一個叫l(wèi)ogrotate的程序，它允許管理員對這些文件進(jìn)行管理。

Logrotate讀取/etc/logrotate.d目錄下的文件。管理員通過該目錄下的腳本文件，控制logrotate程序的運(yùn)作。一個典型的腳本文件如下：

{

rotate 5

weekly

errors root@serve1r

mail root@server1

copytruncate

compress

size 100k

}

腳本文件的含義如下：

● rotate 5——保留該文件一份當(dāng)前的備份和5份舊的備份。

● weekly——每周處理文件一次，通常是一周的第一天。

● errors——向郵件地址發(fā)送錯誤報告。

● mail——向郵件地址發(fā)送相關(guān)的信息。

● copytruncate——允許進(jìn)程持續(xù)地記錄，備份文件創(chuàng)建后，把活動的日志文件清空。

● compress——使用gzip工具對舊的日志文件進(jìn)行壓縮。

● size 100k——當(dāng)文件超過100k 時自動處理。

linux服務(wù)器安全審計怎么弄

材料：

Linux審計系統(tǒng)auditd 套件

步驟：

安裝 auditd

REL/centos默認(rèn)已經(jīng)安裝了此套件，如果你使用ubuntu server，則要手工安裝它：

sudo apt-get install auditd

它包括以下內(nèi)容：

auditctl :?即時控制審計守護(hù)進(jìn)程的行為的工具，比如如添加規(guī)則等等。

/etc/audit/audit.rules :?記錄審計規(guī)則的文件。

aureport :?查看和生成審計報告的工具。

ausearch :?查找審計事件的工具

auditspd :?轉(zhuǎn)發(fā)事件通知給其他應(yīng)用程序，而不是寫入到審計日志文件中。

autrace :?一個用于跟蹤進(jìn)程的命令。

/etc/audit/auditd.conf :?auditd工具的配置文件。

Audit 文件和目錄訪問審計

首次安裝?auditd?后, 審計規(guī)則是空的。可以用?sudo auditctl -l 查看規(guī)則。文件審計用于保護(hù)敏感的文件，如保存系統(tǒng)用戶名密碼的passwd文件，文件訪問審計方法：

sudo auditctl -w /etc/passwd -p rwxa

-w path :?指定要監(jiān)控的路徑，上面的命令指定了監(jiān)控的文件路徑 /etc/passwd

-p :?指定觸發(fā)審計的文件/目錄的訪問權(quán)限

rwxa ：?指定的觸發(fā)條件，r 讀取權(quán)限，w 寫入權(quán)限，x 執(zhí)行權(quán)限，a 屬性（attr）

目錄進(jìn)行審計和文件審計相似，方法如下：

$ sudo auditctl -w /production/

以上命令對/production目錄進(jìn)行保護(hù)。

3.?查看審計日志

添加規(guī)則后，我們可以查看 auditd 的日志。使用?ausearch?工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f?設(shè)定ausearch 調(diào)出 /etc/passwd文件的審計內(nèi)容

4. 查看審計報告

以上命令返回log如下：

time-Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0?name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194):?cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003?syscall=5?

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231?auid=4294967295 uid=1000 gid=1000?euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo"?key=(null)

time :?審計時間。

name :?審計對象

cwd :?當(dāng)前路徑

syscall :?相關(guān)的系統(tǒng)調(diào)用

auid :?審計用戶ID

uid 和 gid :?訪問文件的用戶ID和用戶組ID

comm :?用戶訪問文件的命令

exe :?上面命令的可執(zhí)行文件路徑

以上審計日志顯示文件未被改動。

Linux自帶的審計功能

Linux自帶的script命令，可以記錄終端的輸出，用來完成簡單的審計功能

這樣用戶登陸后執(zhí)行的操作都會記錄到/mnt/log/script/*.log（目錄自己根據(jù)服務(wù)器目錄定義）里，這里把用戶ID 大于1000的都記錄下操作。

本文題目：linux審計文件命令 linux開啟審計功能
標(biāo)題鏈接：http://fisionsoft.com.cn/article/hieccg.html

新聞中心

Linux 主機(jī)審計

linux服務(wù)器安全審計怎么弄

Linux自帶的審計功能

其他資訊