步骤一:查看 audit 目前生效的所有配置
/sbin/auditctl -s步骤二:查看 audit 目前生效的所有规则
/sbin/auditctl -l步骤三:生成 audit 报告
/sbin/aureport[步骤] Linux 命令的监控 (audit 版)
正文:
步骤一:添加监控命令的 audit 规则
1.1 添加监控命令的 audit 规则的格式
-w <command> -p x -k <search_key>(
补充:
1) 这里的 <command> 是要监控的命令
2) 这里的 <search_key> 是个标识,用于简化在 audit 日志里搜索此命令
)
1.2 添加监控命令的 audit 规则的案例
-w /usr/bin/rm -p x -k rm_command(
补充:这里以
1) 监控 /usr/bin/rm 命令
2) 标识是 rm_command 为例
)
步骤二:让刚刚添加的规则生效
2.1 合并新添加的 audit 规则
# augenrules2.2 重启 auditd 服务
# service auditd restart步骤三:查看新添加的规则
# auditctl -l步骤四:查看某个表示的 audit 日志
# ausearch -k rm_command(补充:这里以查看标识为 rm_command 的 audit 日志为例)
参考文献:
https://access.redhat.com/solutions/3401281
[步骤] Linux audit 日志的查看 (判断哪个文件是被哪个用户修改过)
步骤一:查看在 audit 日志中文件被修改的日志编号
# cat /var/log/audit/audit.log | grep test.txt
......
type=PATH msg=audit(1532475291.426:18858423)......
......(
补充:
1) 这里以查看在 audit 日志中文件 test.txt 被修改的记录为例
2) 从这里的输出结果可以看到此次的修改记录中日志的编号是 18858423
)
步骤二:在 audit 日志中查看和此日志编号相同的的日志里记录的 PPID
# cat /var/log/audit/audit.log | grep ppid | grep 18858423
......
...... ppid=6027281 ......
......(
补充:
1) 这里以查看在 audit 日志中和日志编号 18858423 相同的的日志里记录的 PPID 为例
2) 这里的日志编号 18858423 是在步骤一中查到的
3) 从这里的输出结果可以看到和此日志编号相同的日志里记录的 PPID 是 6027281
)
步骤三:在系统日志中查看哪个用户登录系统时生成的是此 PPID
# cat /var/log/messages | grep terminal=ssh | grep 6027281(
补充:
1) 这里以查看在系统日志中哪个用户登录系统时生成的是 PPID 6027281 为例
2) 这里的 PPID 6027281 是在步骤二中查到的
)
[步骤] Linux 让 auditd 对所有进程进行监控的设置 (让 auditd 日志进程最早被启动)
正文:
步骤一:让 auditd 日志进程最早被启动的目的
auditd 只能监控比它后启动的进程,恶意软件如果比它先启动则无法被其监控
步骤二:让 auditd 日志进程最早被启动
2.1 修改 /etc/default/grub 文件
在这一行里:
GRUB_CMDLINE_LINUX="......"添加:
GRUB_CMDLINE_LINUX="...... audit=1"2.2 使刚刚的修改生效
# grub2-mkconfig -o /boot/grub2/grub.cfg参考文献:
https://access.redhat.com/solutions/971883
[步骤] Linux SCAP (Security Content Automation Protocol) 的生成 (Linux 开源安全报道的生成)
正文:
步骤一:安装 openscap 和相关组件
如果是 RHEL:
# yum install openscap openscap-scanner如果是 SLE:
# zypper install openscap openscap-utils scap-security-guide步骤二:下载最新的 SUSE 官方 OVAL 文件
2.1 进入存放下载的官方 OVAL 文件的目录
# cd /root(补充:这里以把官方的 OVAL 文件下载到 /root 目录为例)
2.2 下载最新的官方 OVAL 文件
如果是 RHEL:
# wget -O - https://access.redhat.com/security/data/oval/v2/RHEL9/rhel-9.oval.xml.bz2(补充:这里以下载 RHEL 9 官方的 OVAL 文件为例)
如果是 SLES:
# wget https://ftp.suse.com/pub/projects/security/oval/suse.linux.enterprise.15-patch.xml.bz2(补充:这里以下载 SLE 15 官方的 OVAL 文件为例)
2.2 解压下载下来的 OVAL 文件
如果是 RHEL:
# bzip2 -d rhel-9.oval.xml.bz2(补充:这里以解压 rhel-9.oval.xml.bz2 文件为例)
如果是 SLES:
# bzip2 -d suse.linux.enterprise.15-patch.xml.bz2(补充:这里以解压 suse.linux.enterprise.15-patch.xml.bz2 文件为例)
步骤三:使用 SUSE 官方的 OVAL 文件生成 SCAP (Security Content Automation Protocol) 报告
如果是 RHEL:
# oscap oval eval --report /root/rhel9.5_report20240101.html /root/rhel-9.oval.xml(补充:这里以用刚刚下载的官方的 OVAL 文件生成名为 rhel9.5_report20240101.html 的 SCAP (Security Content Automation Protocol) 报告文件,并放在 /root 目录下为例)
如果是 SLES:
# oscap oval eval --report /root/sles15.5_report_20240101.html /root/suse.linux.enterprise.15-patch.xml(补充:这里以用刚刚下载的官方的 OVAL 文件生成名为 sles15.5_report_20240101.html 的 SCAP (Security Content Automation Protocol) 报告文件,并放在 /root 目录下为例)
参考文献:
https://documentation.suse.com/compliance/all/html/SLES-openscap/index.html