demone audit (auditd) è un open source, demone libero e non interattiva, un programma a riga di comando che fornisce gli strumenti user-space necessarie per la creazione di regole di controllo sui sistemi operativi basati su kernel Linux.
Funziona come un quadro limitato di auditing indipendente
Il software può essere utilizzato anche per la ricerca e la memorizzazione dei record di controllo che sono stati generati dal sottosistema di controllo in Linux kernel 2.6 o versione successiva. Funziona come un quadro limitato di audit indipendente sulla propria distribuzione GNU / Linux.
Il Quadro di revisione di Linux
Conosciuto anche come il Linux Audit Framework, il progetto demone audit è stato inizialmente creato per fornire il controllo delle chiamate di sistema senza fare un passo sulla funzionalità esistente fornita da progetti come SELinux.
Come funziona il programma
Il programma può aprire e chiudere i file di registro di controllo che si trovano nelle cartelle specificate nel file audit_control. Ci vorranno tutti i file nell'ordine in cui sono specificati in quel file e legge i dati di revisione contabile soltanto dal kernel. Poi, scrive che i dati in un file di registro di controllo.
Inoltre, si esegue uno script chiamato audit_warn quando le rispettive cartelle di audit riempiono oltre i limiti specificati scritte nel file audit_control. demone audit invierà avvisi alla console e per l'alias di posta audit_warn.
Installare il demone audit
Per installare il demone audit sul sistema operativo GNU / Linux con il pacchetto sorgente, si dovrà scaricare un primo momento dal suo sito ufficiale (vedi homepage link alla fine di questo articolo), salvare l'archivio nella vostra Home directory e scompattarlo utilizzando uno strumento gestore di archivi.
In un emulatore di terminale, passare al percorso dei file di archivio estratti utilizzando il & lsquo; cd & rsquo; comandi (ad esempio cd /home/softoware/audit-2.4.1), eseguire il & lsquo; ./ configure && make & rsquo; comando per configurare e compilare il programma, quindi eseguire il & lsquo; sudo make install & rsquo; comando per installarlo a livello di sistema
Cosa c'è di nuovo in questa versione:.
- Aggiungi sostegno python3 per libaudit
- avvertimenti Cleanup automake
- Aggiungi AuParser_search_add_timestamp_item_ex al binding python
- Aggiungi AuParser_get_type_name al binding python
- Il corretto trattamento dei obj_gid a auditctl (Aleksander Zdyb)
- Fai file di configurazione plug-in analisi più robusto per le linee lunghe (# 1.235.457)
- Fai la stampa di stato auditctl campo perso numero come unsigned
- Aggiungi modalità di interpretazione per auditctl -s
- Aggiungi sostegno python3 a auparse libreria
- Fare un opzione di configurazione del tempo di costruzione --enable-zos-remote (Clayton Shotwell)
- Gli aggiornamenti per la compilazione incrociata (Clayton Shotwell)
- Aggiungi MAC_CHECK tipo evento di controllo
- Aggiungi file di pkgconfig libauparse (Aleksander Zdyb)
Cosa c'è di nuovo nella versione 2.4.1:
- Crea supporto python3 facile
- Aggiungi il supporto per ppc64le (Tony Jones)
- Aggiungi alcune traduzioni per a1 di sistema ioctl chiamate
- Aggiungi comando riporta e virtualizzazione per aureport
- rapporto Aggiornamento aureport configurazione per nuovi eventi
- Aggiungi account relazione di sintesi modifica aureport
- Aggiungi tipi di eventi GRP_MGMT e GRP_CHAUTHTOK
- cambia conto aureport corretta li>
- Aggiungi relazione evento integrità aureport
- Aggiungi config relazione di sintesi modifica aureport
- Regolare alcune impostazioni del livello syslogging in audispd
- Migliorare l'analisi delle prestazioni di tutto
- Quando ausearch emette una linea, utilizzare i valori precedentemente analizzati (Masterizza Alting)
- Migliorare la ricerca e gruppi di interpretare in eventi
- interpretare pienamente il campo proctitle in auparse
- libaudit corretta e il supporto per le funzionalità del kernel auditctl
- Aggiungere il supporto per l'impostazione backlog_time_wait via auditctl
- tavoli Aggiornamento syscall per il kernel 3.18
- Ignora errore DNS per la convalida e-mail a auditd (# 1.138.674)
- Consenti rotazione come azione per space_left e disk_full in auditd.conf
- La corretta relazione di sintesi di login aureport
- Auditctl possono essere lista separata da virgole ora
- regole di aggiornamento per nuovi sottosistemi e funzionalità
rapporti
chiamate di sistema
Cosa c'è di nuovo nella versione 2.3.2:
- Mettere RefuseManualStop nella sezione systemd destra (# 969345 )
- Aggiungi script di riavvio legacy per il supporto systemd
- Aggiungi altre interpretazioni argomento syscall
- Aggiungi parola chiave 'disinserito' per i valori uid e gid in auditctl
- Nella ausearch, analizzare obj nelle registrazioni IPC
- Nella ausearch, analizzare subj nelle registrazioni DAEMON_ROTATE
- interpretazione Fix di MQ_OPEN e MQ_NOTIFY eventi
- Nella auditd, riavviare dispatcher su SIGHUP se aveva precedentemente uscito
- Nella audispd, uscita quando non plugin attivi vengono rilevati riconfigurare
- Nella audispd, maschera segnale chiaro fissato dal libev modo che SIGHUP funziona di nuovo
- Nella audispd, traccia plugin binari e riavviare se binario è stato aggiornato
- Nella audispd, essere sicuri di inviare segnali al processo corretto
- Nella auditd, maschera segnale chiaro quando la deposizione delle uova qualunque processo figlio
- Nella audispd, fare plugin incorporate rispondono ai SIGHUP
- Nella auparse, interpretare le bandiere modalità di syscall aperta se viene passato O_CREAT
- Nella audisp-remoto, non fare ricerca di indirizzi sempre un fallimento permanente
- Nella audisp-telecomando, rimuovere gli eventi EOE più efficiente
- Nella auditd, accedere la ragione quando l'account di posta elettronica non è valido
- Nella audisp-remoto, azione remote_ending cambiamento predefinita per ricollegare
- Aggiungere il supporto per i processori Aarch64
Cosa c'è di nuovo nella versione 2.2.1:
- Aggiungi altri interpretazioni in auparse per i parametri syscall
- Aggiungi alcune interpretazioni a ausearch per i parametri syscall
- Nella ausearch / relazione e auparse, allocare spazio per i nomi dei nodi
- tavoli Aggiornamento syscall per il kernel 3.3.0
- Aggiorna libev a 4.0.4
- Ridurre le dimensioni di alcune applicazioni
- Nella auditctl, controllare l'utilizzo contro euid piuttosto che uid
Cosa c'è di nuovo nella versione 2.1.1:
- Quando ausearch è interpretting, uscita & quot; come & quot ; se non viene trovato =
- La corretta configurazione presa in logging remoto
- Rettificato impostazioni predefinite un paio di logging remoto e script di init
- Audispd non è stata la marcatura plugin rinnovate come attivo
- Audisp-remoto deve mantenere una capacità se porta_locale & lt; 1024
- Quando audispd riavviato plugin inviare avvenimento nel suo formato preferito
- Nella audisp-remoto, fare tutti gli I / O asincrono
- Nella audisp-remoto, aggiungere gestore SIGUSR1 a discarica stato interno
- Fix autrace utilizzare chiamate di sistema corrette sui sistemi s390 e s390x
- Aggiungi arresto syscall al teardowns logging remoto
- regola autrace corretto per 32 sistemi bit
Cosa c'è di nuovo nella versione 2.1:
- Aggiorna pagina man auditctl per nuovo campo del filtro utente
- incidente Fix in aulast quando AUID è estraneo al sistema
- ripuliture codice
- Aggiungi negozio e il modello in avanti per audispd-remoto (Mirek Trmac)
- Memoria libera su start-up fallito in audisp-preludio
- perdita di memoria Fix in aureport
- Risolvere problema di analisi dello stato in libauparse
- Migliorare la robustezza delle funzioni di codifica campo libaudit
- Aggiornamento tabelle di capacità
- Nella auditd, rendere l'azione fallimento config controllo coerente
- Nella auditd, controllare che NULL non viene passato a safe_exec
- Nella audisp-remota, overflow_action non sospendeva se è stato scelto tale azione
- Aggiornamento interpretazioni per eventi virt
- Migliorare avvertimento logging remoto e messaggi di errore
- Aggiungi interpretazioni per gli eventi di netfilter
Cosa c'è di nuovo nella versione 2.0.6:
- miglioramenti
- ausearch / prestazioni rapporto
- Sincronizza tutte le regole campione syscall di utilizzare l'azione, l'elenco
- Se il nome del programma previsto per audit_log_acct_message, sfuggire
- pagina man Fix per la funzione audit_encode_nv_string (# 647.131)
- Se il valore è NULL, non segfault (# 647.128)
- Fissare semplice evento analisi di non assumere id di sessione non può essere l'ultima (Peng Haitao)
- Aggiungi supporto per il nuovo tipo di evento di controllo mmap
- Aggiungi capacità per il plugin audispd syslog scegliere local0-7 struttura (# 593.340)
- Fix autrace utilizzare chiamate di sistema corrette sui sistemi i386 (Peng Haitao)
- All'avvio e riconfigura, controllare i log in eccesso e scollegare
- Aggiungere un paio mancante messaggi parser di debug
- uscita di errore Fix risolvere numerico pagina indirizzo e aggiornare man
- Aggiungi tipi di eventi netfilter
- la correzione di errore di ortografia in audit.rules pagina man (# 667.845)
- Migliorare avvertimento in auditctl per quanto riguarda modalità immutabile (# 654.883)
- tavoli Aggiornamento syscall per il kernel 2.6.37
- Nella ausearch, consentono la ricerca di AUID -1
- Aggiungi coda overflow_action a audisp-telecomando per il controllo overflow coda
- Aggiornamento regole di esempio per le nuove chiamate di sistema e pacchetti
Cosa c'è di nuovo nella versione 2.0.5:
- Un paio di correzioni sono state fatte per 32 bit sistemi quando si utilizza un campo inode nelle regole.
- aggiornamenti della tabella Syscall sono state fatte per i kernel recenti.
- Nuovi eventi sono stati aggiunti per l'avviamento di servizi / stop e la virtualizzazione.
- La gestione della direttiva ignorare in auditctl è stato fissato.
Cosa c'è di nuovo nella versione 2.0.3:
- Molte correzioni di registrazione a distanza sono stati fatti, tra cui un potenziale problema di sicurezza se gssapi è stata abilitata.
Cosa c'è di nuovo nella versione 2.0.1:.
- getloginuid è stato fissato per il binding Python
- Il plugin audispd AF_UNIX è stato disabilitato per impostazione predefinita.
- Un bug nella registrazione remota è stato fissato.
- Lo script di init è stato aggiornato.
- La pagina man è stata aggiornata.
I commenti non trovato