linux审计相关

骑猪看日落 2022-06-16 10:40 187阅读 0赞

1.2.6的audit

/var/log/audit/audit.log

2.sa / lastcomm /accton

/var/account/pacct  不过默认把这个放在/var/log下面好切分

3.用script -f 来记录

http://hi.baidu.com/ubuntu2me/blog/item/7e6d86cf7c77e70f93457e4d.html

有时候我们需要记录Linux用户的操作记录用于审计，因此就要避免用户可以自行清除操作日志，一个简单的方式是使用script功能。  
  
首先在用户的profile文件中开启记录功能：  
  
\[banping@linux ~\]$ cd /home/banping/  
\[banping@linux ~\]$ vi .bash\_profile  
\# write log  
exec /usr/bin/script -a -f -q /tmp/test/script-\`date +%Y%m%d%k%M\`.lst  
  
这行脚本的意思是在/tmp/test目录下以时间为文件名来记录操作信息，由于是写在了.bash\_profile文件中，用户登入到Linux 系统的时候就会触发执行。  
  
然后我们在/tmp下建立test目录存放操作日志信息即可：  
  
\[banping@linux tmp\]\# mkdir test  
  
这样就实现了记录的功能，而要防止用户自行修改，我们可以设置这些文件只能被附加，不能被修改或删除：  
  
\[root@linux banping\]\# chattr +a .bash\_profile  
  
\[root@linux tmp\]\# chattr +a -R test  
  
这样登录用户就无法修改这些信息了，以下是一个简单的测试：  
  
\[root@tomcat tmp\]\# cd test  
\[root@tomcat test\]\# touch 1.txt  
\[root@tomcat test\]\# rm 1.txt  
rm: remove regular empty file \`1.txt'? y  
rm: cannot remove \`1.txt': Operation not permitted  
\[root@tomcat test\]\# cd ..  
\[root@tomcat tmp\]\# chattr -a -R test  
\[root@tomcat tmp\]\# cd test  
\[root@tomcat test\]\# rm 1.txt  
rm: remove regular empty file \`1.txt'? y

发表评论取消回复

表情：

评论列表（有 0 条评论，187人围观）

还没有评论，来说两句吧...

相关阅读

相关 linux 用户行为审计

在/etc/profile文件下添加如下shell即可（注意文件的权限问题！！） \[plain\] [view plain][] [copy][view plain] 1

比眉伴天荒/ 2024年02月18日 20:53/ 0 赞/ 60 阅读

相关 ORACLE审计相关参数组合情况

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2FsbHdh

深藏阁楼爱情的钟/ 2023年10月06日 12:00/ 0 赞/ 1 阅读

相关 Linux审计，audit工具的用法，配置审计过程与阅读审计内容

一、Linux的审计功能 1.什么是审计审计的目的是基于事先配置的规则生成日志，记录可能发生在系统上的事件（正常或非正常行为的事件），审计不会为系统提供额外的安全保护

逃离我推掉我的手/ 2023年06月07日 05:51/ 0 赞/ 12 阅读

相关 linux审计工具audit,Linux audit 审计工具

centos 系统 audit 默认是安装的查看状态： \[root@ecs-proxy ~\]\ service auditd status \[root@ecs-p

拼搏现实的明天。/ 2023年01月20日 12:48/ 0 赞/ 194 阅读

相关代码审计

目录什么是代码审计代码审计的三种方法 1.通读全文法 2.函数回溯法

你的名字/ 2022年12月09日 00:37/ 0 赞/ 182 阅读

相关 Linux 利用 PROMPT_COMMAND 实现审计功能

linux历史命令记录在history,在用户退出的时候写入,不过有时候可以直接绕过去,不让写入,比如shutdown now,还有在一些情况下也是不予保存的,这让人很头疼

绝地灬酷狼/ 2022年08月21日 14:43/ 0 赞/ 167 阅读

相关 linux审计相关

1.2.6的audit /var/log/audit/audit.log 2.sa / lastcomm /accton /var/acco

骑猪看日落/ 2022年06月16日 10:40/ 0 赞/ 188 阅读

相关 4.6 Linux Lynis安全审计

官网：[https://cisofy.com/lynis/][https_cisofy.com_lynis] 1、lynis命令格式：可使用man lynis 查看详细命令使

﹏ヽ暗。殇╰゛Y/ 2022年02月02日 06:25/ 0 赞/ 252 阅读

相关 linux相关

1.开机启动路径 etc/rc.d/rc.local 2.vi 编辑命令模式进入编辑模式： 1. i（当前位置） 2.a（下一个位置） 3.o（下一行） 3.光

Dear 丶/ 2021年11月11日 21:46/ 0 赞/ 301 阅读

相关 linux auditd 审计简介

目录启动审计进程查看当前审计规则新建临时规则测试passwd文件改动的审计信息通过aureport查看生成的审计报告对auditd.conf文件的分析

我会带着你远行/ 2021年09月07日 06:13/ 0 赞/ 500 阅读