demon audit (auditd) este un open source, demon gratuit și non-interactiv, un program de linie de comandă, care oferă instrumentele de user-spațiul necesar pentru a crea reguli de audit pe sisteme de operare bazate pe kernel Linux.
Funcționează ca un cadru de audit independent limitată
Software-ul poate fi de asemenea utilizat pentru căutarea și stocarea înregistrărilor de audit care au fost generate de subsistemul de audit în kernel Linux 2.6 sau mai târziu. Acesta funcționează ca un cadru limitat de audit independent pe distribuție GNU / Linux.
Cadrul Audit Linux
De asemenea, cunoscut sub numele de Cadrul Audit Linux, proiectul demon de audit a fost creat inițial pentru a oferi audit apel de sistem, fără a călca pe funcționalitatea existentă oferită de proiecte ca SELinux.
Cum funcționează programul
Programul poate deschide și închide fișiere jurnal de audit, care sunt găsiți în folderele specificate în fișierul audit_control. Acesta va lua toate fișierele în ordinea în care sunt specificate în acel fișier și citește date numai de audit din kernel. Apoi, scrie că datele într-un fișier jurnal audit.
În plus, se execută un script numit audit_warn când dosarele de audit respective umple trecut limitele specificate scrise în fișierul audit_control. demon de audit va trimite apoi avertismente la consola și aliasul e-mail audit_warn.
Instalarea demonul de audit
Pentru a instala daemon audit pe sistemul dumneavoastră GNU / Linux de operare folosind pachetul sursă, va trebui mai întâi să-l descărcați de pe site-ul său oficial (a se vedea link-ul de pe prima pagina, la sfârșitul articolului), salvați arhiva pe casa ta director, și despachetați folosind un instrument de manager de arhive.
Într-un emulator de terminal, navigați la locația fișierelor arhivă extrase folosind & lsquo; & rsquo CD; comandă (de exemplu, cd /home/softoware/audit-2.4.1), executați & lsquo; ./ configure && make & rsquo; comandă pentru a configura și a compila programul, apoi executați & lsquo; sudo make install & rsquo; comandă să-l instalați întregului sistem
Ce este nou în această versiune:.
- Adauga suport python3 pentru libaudit
- avertismente Cleanup automake
- Adaugă AuParser_search_add_timestamp_item_ex la legături Python
- Adaugă AuParser_get_type_name la legături Python
- prelucrare corectă a obj_gid în auditctl (Aleksander Zdyb)
- Asigurați-uri fișier de configurare parsarea mai robust pentru linii lungi (# 1235457)
- Asigurați-imprimare Starea auditctl pierdut teren ca număr fără semn
- Adauga mod de interpretare pentru auditctl -s
- Adaugă sprijin python3 la auparse bibliotecă
- Asigurați---enable-ZOS-la distanță o opțiune de configurare de timp de constructii (Clayton Shotwell)
- Actualizări pentru compilarea centrare (Clayton Shotwell)
- Adăugați MAC_CHECK tip de eveniment de audit
- Adaugă fișier pkgconfig libauparse (Aleksander Zdyb)
Ce este nou în versiunea 2.4.1:
- Asigurați-suport python3 mai ușor
- Adauga suport pentru ppc64le (Tony Jones)
- Adauga unele traduceri pentru a1 sistemului ioctl apeluri
- Adaugă rapoarte de comandă și de virtualizare a aureport
- raport Actualizare aureport config pentru noi evenimente
- Adăugați un cont raport de sinteză modificare a aureport
- Adauga GRP_MGMT și GRP_CHAUTHTOK tipuri de evenimente
- aureport corectă de schimbare de cont
- Adăugați raport eveniment integritate aureport
- Adăugați config raport de sinteză modificare a aureport
- Reglați anumite setări la nivel de syslogging în audispd
- Îmbunătățirea performanței analiză în tot ceea ce
- Când ausearch ieșiri o linie, să utilizeze valorile parsate anterior (Burn Alting)
- Îmbunătățirea căutarea și interpretarea grupuri din evenimente
- interpreta complet domeniul proctitle în auparse
- libaudit corectă și suport auditctl pentru caracteristici kernel
- Adauga suport pentru stabilirea backlog_time_wait prin auditctl
- mese Actualizare syscall pentru kernel 3.18
- Ignoră eșec DNS pentru validarea email auditd (# 1138674)
- Permiteți rotate ca acțiune pentru space_left și disk_full în auditd.conf
- Corect raport de sinteză de conectare a aureport
- Auditctl poate fi lista separate prin virgula acum
- reguli Actualizare pentru noi subsisteme și capabilități
Rapoarte
syscalls
Ce este nou în versiunea 2.3.2:
- Puneți RefuseManualStop în partea systemd dreapta (# 969345 )
- Adăugați script-uri moștenire de repornire pentru sprijinul systemd
- Adăugați mai multe interpretări argument syscall
- Adăugați cuvinte cheie "unset" pentru valorile UID & GID in auditctl
- În ausearch, analiza obj în evidențele IPC
- În ausearch, analiza subj în evidențele DAEMON_ROTATE
- interpretare Fix de evenimente MQ_OPEN și MQ_NOTIFY
- În auditd, restart dispecer la SIGHUP dacă ar fi ieșit înainte
- În audispd, ieșire atunci când nu plugin-uri active, sunt detectate pe reconfigure
- În audispd, masca clar semnal stabilit de libev astfel încât SIGHUP funcționează din nou
- În audispd, urmări plugin-uri binare și reporniți dacă binar a fost actualizat
- În audispd, asigurați-vă că ne-am trimite semnale de la procesul de corect
- În auditd, masca clar semnal atunci când reproducere orice proces copil
- În audispd, face plugin-uri builtin comanda raspunde la SIGHUP
- În auparse, interpreta modul steaguri ale syscall deschis dacă O_CREAT este trecut
- In-audisp la distanță, nu văd adresa de căutare întotdeauna un eșec permanent
- În audisp-la distanță, scoateți evenimente EOE mai eficient
- În auditd, log motivul atunci când cont de email nu este validă
- In-audisp la distanță, acțiune schimbare implicit remote_ending să se reconecteze
- Adauga suport pentru procesoare Aarch64
Ce este nou în versiunea 2.2.1:
- Adăugați mai multe interpretări în auparse pentru parametrii syscall
- Adăugați câteva interpretări la ausearch pentru parametrii syscall
- În ausearch / raport și auparse, aloca spațiu suplimentar pentru nume de nod
- mese Actualizare syscall pentru kernel 3.3.0
- Actualizare libev la 4.0.4
- Reduceți dimensiunea unor aplicații
- În auditctl, verifica utilizarea împotriva EUID, mai degrabă decât uid
Ce este nou în versiunea 2.1.1:
- Când ausearch este interpretting, ieșire & quot; ca este & quot ; Dacă nu este găsit =
- Configurare priză corect la logare de la distanță
- ajustat setările implicite pentru un cuplu de logare de la distanță și script de inițializare
- Audispd nu a fost marcarea plugin-uri reînceput ca activ
- Audisp-la distanță ar trebui să mențină o capacitate dacă local_port & lt; 1024
- Când audispd repornește plugin, trimite eveniment în formatul preferat
- În audisp-distanță, face toate I / O asincrone
- In-audisp la distanță, se adaugă handler SIGUSR1 să-și arunce de stat interne
- Fix autrace a utiliza syscalls corecte privind sistemele S390 și s390x
- Adaugă închidere syscall la teardowns logare de la distanță
- regulă autrace corectă pentru 32 de sisteme de biti
Ce este nou în versiunea 2.1:
- Actualizare auditctl pagina de manual pentru nou domeniu pe filtru de utilizator
- accident Fix în aulast când auid este străin de sistemul
- curatarea Cod
- Adăugați magazin și model de nerăbdare să-audispd distanță (Mirek Trmac)
- de memorie gratuit la startupuri eșuate în audisp-preludiu
- irosire de memorie Fix în aureport
- Fix analiză problemă de stat în libauparse
- Îmbunătățirea robustețea funcțiilor de codificare câmp libaudit
- mese cu posibilitate de actualizare
- În auditd, face eșec acțiune config verificarea coerentă
- În auditd, verificați dacă NULL nu este trecut la safe_exec
- In-audisp la distanță, overflow_action nu a fost suspendarea în cazul în care a fost ales de acțiune
- Actualizare interpretări pentru evenimente Virt
- Îmbunătățirea avertizare de logare de la distanță și mesajele de eroare
- Adauga interpretări pentru evenimente netfilter
Ce este nou în versiunea 2.0.6:
- îmbunătățiri
- ausearch / raport de performanță
- Sincronizare toate regulile de probă syscall a recurge la acțiuni, lista li>
- Dacă numele programului furnizate audit_log_acct_message, scăpa
- pagina om Fix pentru funcția audit_encode_nv_string (# 647131)
- Dacă valoare nu este NULL, nu segfault (# 647128)
- Fix eveniment simplu analiză nu să-și asume id sesiune nu poate fi trecut (Peng Haitao)
- Adăugați suport pentru nou tip eveniment de audit mmap
- Adauga capacitatea de audispd syslog plugin pentru a alege facilitatea local0-7 (# 593340)
- Fix autrace a utiliza syscalls corecte privind sistemele i386 (Peng Haitao)
- La pornire și reconfig, verificați pentru busteni exces și le deconecta li>
- Adaugă un cuplu lipsește mesaje parser de depanare
- de ieșire de eroare Fix rezolvarea numerică pagina adresă și actualizarea om
- Adauga tipuri de evenimente netfilter
- Fix eroare de ortografie în audit.rules pagină om (# 667845)
- Îmbunătățirea avertizare în ceea ce privește modul auditctl imuabil (# 654883)
- mese Actualizare syscall pentru kernel 2.6.37
- În ausearch, permite căutarea auid -1
- Adaugă coadă overflow_action la audisp-telecomanda pentru a controla revarsarile coadă
- reguli de propoziții Actualizare pentru noi syscalls și pachete
Ce este nou în versiunea 2.0.5:
- O pereche de remedieri au fost făcute pentru 32-bit sisteme atunci când se utilizează un câmp inode în regulamentul.
- actualizări de masă Syscall au fost făcute pentru versiunile recente de kernel.
- Evenimente noi au fost adăugate pentru pornire service / stop și virtualizare.
- Manipularea a ignora directivei în auditctl a fost stabilit.
Ce este nou în versiunea 2.0.3:
- Multe fixups logare de la distanță s-au făcut, inclusiv un potențial problemă de securitate în cazul în care a fost activat GSSAPI.
Ce este nou în versiunea 2.0.1:.
- getloginuid a fost stabilit pentru legaturi Python
- audispd AF_UNIX plugin a fost dezactivată în mod implicit.
- O problemă în exploatare la distanță a fost stabilit.
- Scriptul de inițializare a fost actualizat.
- Pagina om a fost actualizat.
Comentariile nu a fost găsit