Category: System Directory (系统目录)

Posted on

[内容] auditd 使用 (监控文件或目录的变化)

内容一:auditd 的管理

1.1 启动 auditd

1.1.1 启动 auditd
# service auditd restart
1.1.2 查看 auditd 状态
# auditctl -s
1.1.3 设置 auditd 开机自启
# chkconfig auditd on
1.1.4 查看 auditd 开机自启状态
# chkconfig --list auditd

1.2 查看 auditd 的规则

# auditctl -l

1.3 删除 auditd 的规则

1.3.1 永久删除 auditd 的所有规则
1.3.1.1 清空 /etc/audit/audit.rules 文件里的所有内容
# vi /etc/audit/audit.rules

删除里面的所有内容

1.3.1.2 让刚刚的设置生效
# service auditd restart

或者:

# augenrules
1.3.2 临时删除 auditd 的规则
1.3.2.1 临时删除 auditd 的所有规则
# auditctl -D

(补充:此操作重启后失效)

1.3.2.2 临时删除 auditd 的普通规则 (以 -w 开头的规则)
# auditctl -W <policy>

(补充:此操作重启后失效)

1.3.2.3 临时删除 auditd 的使用系统调用和过滤条件的监控规则 (以 -a 开头的规则)
# auditctl -d <policy>

(补充:此操作重启后失效)

1.4 显示 auditd 日志

1.4.1 显示 auditd 的所有日志
# cat /var/log/audit/audit.log
1.4.2 显示某文件或目录的日志
# ausearch -f <file/directory>
1.4.3 显示某关键词的日志
# ausearch -k <key_name>

1.5 生成 auditd 日志报告

# aureport -k

内容二:auditd 的规则

2.1 普通监控规则

2.1.1 普通监控规则的格式
2.1.1.1 普通监控规则的格式
-w <file/directory> -p <previlege> -k <key_name>


补充:
1) 文件名或目录名,需要绝对路径
2) 监控的权限,可以是 rwxa 其中的任意 1 个或多个,r 代表读权限、w 代表写权限,x 代表执行权限,a 代表文件类型
3) 此类日志的关键词

2.1.1.2 添加普通监控规则的格式
2.1.1.2.1 临时添加普通监控规则的格式
# auditctl -w <file/directory> -p <previlege> -k <key_name>
2.1.1.2.2 永久添加普通监控规则的格式
# vim /etc/audit/audit.rules

添加以下内容:

......
-w <file/directory> -p <previlege> -k <key_name>


注意:永久添加的规则后要重启 auditd 服务后才会生效

# service auditd restart

或者:

# augenrules

2.1.2 添加普通监控规则的案例
2.1.2.1 案例一:添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化的规则
# auditctl -w /etc/nginx/nginx.conf

(补充:这里以临时添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化的规则为例)

2.1.2.2 案例二:添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化,并设置关键词为 nginx 的规则
# auditctl -w /etc/nginx/nginx.conf -p rwxa -k 'nginx'

(补充:这里以临时添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化,并设置关键词为 nginx 的规则为例)

2.2 使用系统调用和过滤条件的监控规则

2.2.1 使用系统调用和过滤条件的监控规则的格式
2.2.1.1 使用系统调用和过滤条件的监控规则的格式
-a <action>,<filter> -S <system_call> -F <field>=<value> -k <key_name>


补充:
1) 和 用于确定事件被记录, 的值可以是 always 或者 never, 的值可以是 task、exit、user 或者 exclude
2) 是系统调用,Linux 系统调用的名称在 /usr/include/asm/unistd_64.h 文件中,可以将多个系统调用放在一个规则里,例:-S <system_call> -S <system_call> ……,或者 -S <system_call>,<system_call>……
3) 和 是过略条件,可以将多个过略条件放在一个规则里,-F <field>=<value> -F <field>=<value> ……
4) 是此类日志的关键词

2.2.1.2 添加使用系统调用和过滤条件的监控规则的格式
2.2.1.2.1 临时添加使用系统调用和过滤条件的监控规则的格式
# auditctl -a <action>,<filter> -S <system_call> -F <field>=<value> -k <key_name>
2.2.1.2.2 永久添加使用系统调用和过滤条件的监控规则的格式
# vim /etc/audit/audit.rules

添加以下内容:

......
-a <action>,<filter> -S <system_call> -F <field>=<value> -k <key_name>


注意:永久添加的规则后要重启 auditd 服务后才会生效

# service auditd restart

或者:

# augenrules

2.2.2 使用系统调用和过滤条件的监控规则的案例
2.2.2.1 案例一:监控所有 UID 大于 1000 的用户的删除操作,并设置关键词为 delete
# auditctl -a always,exit -S rmdir -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=unset -F auid!=4294967295 -k delete

(补充:这里以临时监控所有 UID 大于 1000 的用户删除操作为例)

(注意:这里的 -F auid!=4294967295 是为了排除 login UID 没有被设置的用户)

2.2.2.2 案例二:监控所有 UID 大于 1000 的用户的文件删除操作,并设置关键词为 delete
# auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=unset -F auid!=4294967295 -k delete

(补充:这里以临时监控所有 UID 大于 1000 的用户删除操作为例)

(注意:这里的 -F auid!=4294967295 是为了排除 login UID 没有被设置的用户)

2.2.2.3 案例三:监控所有网络连接
# auditctl -a always,exit -F arch=b64 -S socket
# auditctl -a always,exit -F arch=b64 -S connect
# auditctl -a always,exit -F arch=b64 -S sendmmsg
# auditctl -a always,exit -F arch=b64 -S sendmsg
# auditctl -a always,exit -F arch=b64 -S bind
# auditctl -a always,exit -F arch=b64 -S recvmsg
# auditctl -a always,exit -F arch=b64 -S close

(补充:这里以监控所有网络连接为例)

Posted on

[步骤] auditd 的设置 (日志保存时间)

方法一:通过 auditd 配置文件设置

1.1 设置 auditd 日志的保存时间

# vim /etc/audit/auditd.conf

确保部分内容如下:

......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......


补充:这里以
1) 开启 auditd 日志 (local_events = yes) (write_logs = yes)
2) 将 auditd 日志写入 /var/log/audit/audit.log 文件 (log_file = /var/log/audit/audit.log)
3) auditd 日志每达到 8M 大小就将旧的 auditd 日志进行备份并创建新的 auditd 日志 (max_log_file = 8) (max_log_file_action = ROTATE),也可以修改成: max_log_file_action = keep_logs
4) 旧的 auditd 日志保存 5 份 (num_logs =5)
为例

1.2 让设置的 auditd 时间生效

# service auditd restart

方法二:通过 logrotate 配置文件设置

2.1 设置 auditd 日志的保存时间

# vim /etc/logrotate.d/auditd

创建以下内容:

/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}


补充:这里以:
1) 备份的日志文件保留 30 份 (rotate 30)
2) 每天将现在的日志文件进行备份并生成新的日志文件 (dayly)

2.2 让设置的 auditd 时间生效

# systemctl restart logrotate.service
Posted on

[步骤] auditd 日志时间格式的转换

步骤一:创建用于 auditd 转换日志时间格式的脚本

# vim time_format_conversion.pl

创建以下内容:

s/(1\d{9})/localtime($1)/e

(补充:这里以创建名为 time_format_conversion.pl 的用于转换 auditd 日志时间格式的脚本为例)

步骤二:转换 auditd 日志时间格式

# cat /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者:

# less /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者:

# more /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者:

# head /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者:

# tail /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者:

# tail -f /var/log/audit/audit.log | perl -p time_format_conversion.pl

(补充:这里以使用名为 time_format_conversion.pl 的用于转换 auditd 日志时间格式的脚本为例)

Posted on

[命令] Linux 命令 dd (读取内容并进行完整复制)

内容一:dd 命令介绍

1.1 dd 命令简介

dd 是 device driver 单词的缩写,主要用于读取内容并进行完整复制,甚至可以直接复制系统环境

1.2 dd 命令的选项

1) bs= 同时设置单次输入或单词输出的数据块 (block) 的大小为 个字节,此选项也可以使用 ibs 选项设置单次输入和 obs 选项来分别设置单词输出。
2) ibs= 设置单次输入的数据块 (block) 的大小为 个字节,默认为 512 字节
3) obs= 设置单次输出的数据块 (block) 的大小为 个字节,默认为 512 字节
4) count= 设置总共要复制的数据块数量为 N 个数量

1.3 可配合 dd 命令使用的文件

1) /dev/null 空设备,任何进入此文件的数据都会被删除,一般用于删除输出内容
2) /dev/zero 二进制的零流,可以连续不断地产生二进制零流,一般用于对设备和文件进行初始化
3) /dev/urandom 随机数流,可以连续不断地产生随机数流,一般用于清除机密数据,用随机的数据完全覆盖磁盘

内容二:dd 命令的案例

2.1 与分区相关的案例

2.1.1 案例一:备份分区
# dd if=/dev/sda1 of=/root/sda1_backup.img

(补充:这里以将分区 /dev/sda1 备份成文件 /root/sda1_backup.img 为例)

2.1.2 案例二:还原分区
# dd if=/root/sda1_backup.img of=/dev/sda1

(补充:这里以将文件 /root/sda1_backup.img 还原到分区 /dev/sda1 为例)

2.1.3 案例三:复制分区
# dd if=/dev/sda1 of=/dev/sda2

(补充:这里以将分区 /dev/sda1 复制到分区 /dev/sda2 为例)

2.2 与硬盘相关的案例

2.2.1 案例一:备份硬盘
# dd if=/dev/sda of=/root/sda_backup.img

(补充:这里以将硬盘 /dev/sda 备份成文件 /root/sda_backup.img 为例)

2.2.2 案例二:还原硬盘
# dd if=/root/sda_backup.img of=/dev/sda

(补充:这里以将文件 /root/sda_backup.img 还原到硬盘 /dev/sda1 为例)

2.2.3 案例三:复制硬盘
# dd if=/dev/sda of=/dev/sdb

(补充:这里以将硬盘 /dev/sda 复制到硬盘 /dev/sdb 为例)

2.3 与内存相关的案例

2.3.1 案例一:备份内存
# dd if=/dev/meme of=/root/mem_backup.img

(补充:这里以将内存备份成文件 /root/mem_backup.img 为例)

2.3.2 案例二:还原内存
# dd if=/root/mem_backup.img of=/dev/meme

(补充:这里以将文件 /root/mem_backup.img 还原到内存为例)

2.4 与软盘相关的案例

2.4.1 案例一:备份软盘
# dd if=/dev/fd0 of=/root/fd0_backup.img count=1 bs=1440k

(补充:这里以将软盘备份成文件 /root/fd0_backup.img 为例)

2.4.2 案例二:还原软盘
# dd if=/root/fd0_backup.img of=/dev/fd0 count=1 bs=1440k

(补充:这里以将文件 /root/fd0_backup.img 还原到软盘为例)

2.5 与光盘相关的案例

2.5.1 案例一:备份光盘
# dd if=/dev/cdrom of=/root/cd_backup.img

(补充:这里以将光盘备份成文件 /root/cd_backup.img 为例)

2.5.2 案例二:还原光盘
# dd if=/root/cd_backup.img of=/dev/cdrom

(补充:这里以将文件 /root/cd_backup.img 还原到光盘为例)

2.6 与预估硬盘性能相关的案例

2.6.1 案例一:预估硬盘写入性能
# dd if=/dev/zero bs=1024 count=1000000 of=/root/1GB.file

(补充:这里以生成 1 个 1 GB 大小的文件,根据生成时间判断文件大小为例)

2.6.2 案例二:预估硬盘读取性能
# dd if=/root/1GB.file bs=64k | dd of=/dev/null

(补充:这里以读取 1 个 1 GB 大小的文件,根据读取时间判断文件大小为例)

2.6.3 案例三:预估多大的块大小写入性能最佳

(分别执行以下命令)

# time dd if=/dev/zero bs=1024 count=1000000 of=/root/1GB.file
# time dd if=/dev/zero bs=2048 count=500000 of=/root/1GB.file
# time dd if=/dev/zero bs=4096 count=250000 of=/root/1GB.file

(补充:这里以分别生成 1024、2048 和 4096 块大小的 1 GB 大小的文件,根据生成时间判断多大的块大小写入性能最佳为例)

2.7 与清除机密数据相关的案例

# dd if=/dev/urandom of=/dev/sda

(补充:这里以清除硬盘 /dev/sda 上的机密数据为例)