那些遇到过的问题

默认情况下审计日志是什么(即没有定义规则时?)

2rs*_*2ts 6 security debian auditd debian-jessie

我在我的 Debian Jessie 机器上安装了auditdaudispd-plugins并且没有涉及任何配置。我看到事件被写入/var/log/audit/audit.log,例如:

type=LOGIN msg=audit(1462384141.770:838): pid=3662 uid=0 old-auid=4294967295 auid=0 old-ses=4294967295 ses=21 res=1
type=USER_START msg=audit(1462384141.770:839): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1462384141.778:840): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1462384141.778:841): pid=3662 uid=0 auid=0 ses=21 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_ACCT msg=audit(1462384201.780:842): pid=3761 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_ACQ msg=audit(1462384201.780:843): pid=3761 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=LOGIN msg=audit(1462384201.780:844): pid=3761 uid=0 old-auid=4294967295 auid=0 old-ses=4294967295 ses=22 res=1
type=USER_START msg=audit(1462384201.780:845): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1462384201.796:846): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1462384201.800:847): pid=3761 uid=0 auid=0 ses=22 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
Run Code Online (Sandbox Code Playgroud)

但我不确定为什么我首先会在日志中看到任何内容,因为我没有定义规则:

$ auditctl -l
No rules
Run Code Online (Sandbox Code Playgroud)

我在默认值中/etc/audit/audit.rules/etc/audit/rules.d除了默认值之外找不到任何规则:

-D
-b 320
Run Code Online (Sandbox Code Playgroud)

显然我错过了一些东西。默认记录什么?

小智 7

这些事件来自将审计事件发送到审计服务的其他功能(pam、openssh 等)。如果您不想要任何事件,请将 audit=0 添加到内核命令行参数中。

如果您想知道可能想要使用审计服务的功能,请尝试类似

[burn@fc24 ~]$ rpm -q --whatrequires audit-libs
libsemanage-2.5-2.fc24.x86_64
shadow-utils-4.2.1-8.fc24.x86_64
pam-1.2.1-5.fc24.x86_64
util-linux-2.28-3.fc24.x86_64
openssh-7.2p2-9.fc24.x86_64
passwd-0.79-8.fc24.x86_64
gdm-3.20.1-3.fc24.x86_64
pam-1.2.1-5.fc24.i686
[burn@fc24 ~]$
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

4805 次

最近记录:

8 年,9 月 前
相关归档
允许linux root用户mysql root无需密码访问 37
为什么基于 Linux 的操作系统被认为比 Windows 更安全? 19
如何判断给定用户的密码何时到期? 16
sftp 上的符号链接和 filezilla 15
大学研究实验室系统的安全性 7
proFTPD无法确定IP地址 7
如何防止 apache Archiva 中的密码过期 7
高级审计策略未应用于 2012 R2 6
SSH 攻击 CentOS Amazon EC2 2
如何保护 telnet 访问 smtp 端口 25? 0
难疑归档
如何使用 iptables 进行端口转发? 126
当x64代表64位时,为什么x86代表32位? 110
如何列出加载的 Linux 模块参数值? 100
“dd”中的“bs”选项真的能提高速度吗? 77
如何在使用 ISP 的 DNS 或 Google 的 8.8.8.8 之间做出选择? 72
使用 LDAP 的 SSH 密钥身份验证 69
如何在 Debian 系统上检查修改的配置文件? 68
traceroute时“***”是什么意思 66
最喜欢的 rsync 提示和技巧 58
每个 VHost 有多个“ServerName”? 58