auditd詳解

一、auditd服務

auditd是Linux系統中的一款安全審計程序，可以跟蹤系統中的各種操作行為，從而提高系統安全性。它使用內核功能來監控進程，文件系統和網路。auditd服務主要包括以下兩個方面的內容。

1. 配置文件

在Linux系統中，默認安裝了auditd服務，配置文件位於/etc/audit/auditd.conf。配置參數涵蓋了審計日誌存儲路徑、最大審計日誌大小等。

    log_file = /var/log/audit/audit.log
    log_format = RAW
    log_group = root
    priority_boost = 4
    flush = INCREMENTAL_ASYNC
    freq = 50
    num_logs = 4
    disp_qos = lossy
    dispatcher = /sbin/audispd
    name_format = NONE
    max_log_file = 50
    max_log_file_action = ROTATE
    space_left = 75
    space_left_action = SYSLOG
    admin_space_left = 50
    admin_space_left_action = SUSPEND
    disk_full_action = SUSPEND
    disk_error_action = SUSPEND
    tcp_listen_queue = 5
    tcp_max_per_addr = 1
    enable_krb5 = no
    krb5_principal = auditd
    krb5_key_file = /etc/audit/audit.key

2. 審計規則

auditd可以通過自己的審計規則來審計系統操作行為，規則文件位於/etc/audit/rules.d/。審計規則由以下三個部分構成：

    -a exit,always -F arch=b64 -F euid=0 -S write -k test
    -a exit,always -F dir=/usr/bin/ -F perm=x -F auid>=1000 -F auid!=4294967295 -k perm_u
    -w /etc/sudoers -p wa -k sudoers

-a 表示規則的類型，exit表示系統調用函數結束時候觸發規則動作，always意思為無論成功還是失敗都進行審計，-F則表示選項。

二、AuditDate

AuditDate是一個將日誌中的日期和時間戳轉換為人類可讀日期和時間的工具。AuditDate命令需要一些參數才能確保正確解釋日誌時間戳。

1. 參數格式

AuditDate命令的常用參數如下：

• -w：計算從當前時間向前的周數。
• -m：計算從當前時間向前的月數。
• -y：計算從當前時間向前的年數。
• --input-tz='UTC'：定義日誌中的時區。

2. 命令示例

以下是AuditDate命令的示例：

    $ ausearch --start today -m USER_ACCT -i | audit2allow -m todayraw -o todayraw.te
    type todayraw_t;
    type todayraw_log_t;
    type todayraw_user_t;
    type todayraw_fs_t;
    audit_log_user_role(todayraw_log_t, todayraw_user_t)
    auditd_log_dir(todayraw_log_t)
    auditd_var_log(todayraw_log_t, todayraw_fs_t)
    
auditallow todayraw_user_t todayraw_log_t:dir read;
     auditallow todayraw_user_t todayraw_log_t:file entry;

上述命令將生成一個名為todayraw.te的文件，並將其用於生成策略模塊。

三、audit燈棚

audit燈棚是指auditd服務記錄的審計日誌存儲區。理解audit燈棚的基礎是了解它是如何初始化和工作的。

1. 初始化步驟

audit燈棚的初始化過程如下：

1. 創建配置文件：/etc/audit/auditd.conf。
2. 創建審計規則文件：/etc/audit/rules.d/audit.rules。
3. 轉儲審計日誌：/var/log/audit/。

2. 工作方式

audit燈棚的工作方式如下：

1. 記錄所有的系統調用、用戶和進程信息。
2. 以結構化的方式存儲審計日誌，便於分析。
3. 在系統空間被全部消耗之前自動轉儲審計日誌到指定的目錄。

四、audit的中文

audit是一個英文單詞，指的是審計、審核。下文中的audit均指代Linux安全審計程序。

五、AUDITDATE啥意思

AUDITDATE是auditd日誌中的時間戳，指的是進程執行結束的時間。

六、auditd服務關閉

auditd服務的關閉可以通過以下命令來實現：

    $ systemctl stop auditd.service

如果想要禁用服務，可以運行如下命令：

    $ systemctl disable auditd.service

七、audit單詞記憶

audit是一個學術辭彙，許多人可能難以記憶。這裡介紹一個記憶方法：音頻-帶學習策略的記憶法。即將單詞與音頻聯繫起來，然後使用學習策略，如：默想或朗讀單詞等。

八、auditd內存佔用大

在高配置的伺服器上，auditd服務可能會佔用大量的內存資源。如果出現該問題，可以嘗試通過縮小日誌文件或減少審計規則的方式解決。

九、audit讀音

audit單詞的讀音是 /’ɔ:dɪt/。

十、audit燈光房選取

audit燈光房是指為能夠在燈光下進行舞台表演而設置的房間。在Linux系統中，audit燈光房是為審計日誌提供存儲空間的區域，可以在配置文件中指定。