Audit-Daemon (auditd) ist ein Open Source, freie und nicht-interaktiven Daemon, ein Kommandozeilen-Programm, das die notwendigen Userspace-Tools bietet für die Erstellung von Audit-Regeln für Linux-Kernel-basierten Betriebssystemen.
Arbeitet als Standalone begrenzten Prüfungsrahmen
Die Software kann auch zum Suchen und Speichern der Audit-Aufzeichnungen, die von der Audit-Subsystem im Linux-Kernel 2.6 oder höher erzeugt wurden, verwendet werden. Es funktioniert wie eine begrenzte Standalone-Prüfungsrahmen auf Ihrem GNU / Linux-Distribution.
Der Linux-Auditing Rahmen
Auch bekannt als der Linux-Auditing Rahmen wurde das Audit-Daemon Projekt ursprünglich erstellt, um Systemaufruf Auditing, ohne sich auf die vorhandene Funktionalität von Projekten wie SELinux zur Verfügung gestellt werden.
Wie das Programm funktioniert
Das Programm öffnen und schließen kann Audit-Log-Dateien, die in den in der audit_control Datei angegebenen Ordner zu finden sind. Es werden alle Dateien in der Reihenfolge, wie sie in dieser Datei angegeben sind und liest nur Audit-Daten aus dem Kernel zu nehmen. Dann schreibt sie, dass Daten in eine Protokolldatei.
Darüber hinaus führt sie ein Skript namens audit_warn, wenn die entsprechenden Audit-Ordner füllen Vergangenheit der festgelegten Grenzen im audit_control Datei geschrieben. Audit-Daemon sendet dann Warnungen auf der Konsole und an das audit_warn Mail-Alias.
Installation der Audit-Daemon
Um den Audit-Daemon auf Ihrem GNU / Linux-Betriebssystem mit Hilfe der Source-Paket installieren, müssen Sie zuerst als Download von der offiziellen Website (siehe die Homepage Link am Ende des Artikels), speichern Sie das Archiv auf der Startseite Verzeichnis und unter Verwendung eines Archiv-Manager-Tool entpacken Sie es.
In einem Terminal-Emulator, navigieren Sie zum Speicherort der extrahierten Archivdateien mit Hilfe des & lsquo; cd & rsquo; Befehl (zB cd /home/softoware/audit-2.4.1), führen Sie die & lsquo; ./ configure && make & rsquo; Befehl zu konfigurieren und kompilieren Sie das Programm, und führen Sie die & lsquo; sudo make install & rsquo; Befehl, um es systemweit zu installieren
Was ist neu in dieser Pressemitteilung:.
- python3 Unterstützung für libaudit hinzufügen
- Cleanup auto Warnungen
- In AuParser_search_add_timestamp_item_ex um Python-Bindungen
- In AuParser_get_type_name um Python-Bindungen
- Die korrekte Verarbeitung der obj_gid in AUDITCTL (Aleksander Zdyb)
- Plugin Config-Datei Parsen robuster für lange Leitungen (# 1235457)
- Stellen AUDITCTL Statusausdruck verlor Feld als Zahl ohne Vorzeichen
- In Auslegung Modus für AUDITCTL -s
- In python3 Unterstützung auparse Bibliothek
- Erstellen Sie eine Build-Zeit Konfigurationsoption --enable-ZOS-Fernbedienung (Clayton Shotwell)
- Updates für Cross-Compilierung (Clayton Shotwell)
- In MAC_CHECK Prüfungsereignistyp
- In libauparse pkgconfig Datei (Aleksander Zdyb)
Was ist neu in der Version 2.4.1:
- Erstellen python3 Unterstützung einfacher
- Hinzufügen von Unterstützung für ppc64le (Tony Jones)
- Fügen Sie einige Übersetzungen für a1 von ioctl Systemaufrufe
- In Command & Virtualisierung Berichte aureport
- Update aureport Konfigurationsbericht für neue Events
- In Konto Modifikation zusammenfassenden Bericht aureport
- In GRP_MGMT und GRP_CHAUTHTOK Ereignistypen
- Correct aureport Konto Änderungsberichte
- In Integrität Ereignisbericht zu aureport
- In Konfigurationsänderung zusammenfassenden Bericht aureport
- Stellen Sie einige Einstellungen Syslogging Ebene audispd
- Erhöhen Parsen Leistungsfähigkeit in allem
- Wenn ausearch gibt eine Zeile mit Hilfe der zuvor analysierten Werte (Brennen Alting)
- Erhöhen Sie die Suche und Interpretation Gruppen Veranstaltungen
- Voll interpretieren die proctitle Feld in auparse
- Correct libaudit und AUDITCTL Unterstützung für Kernel-Funktionen
- Hinzufügen von Unterstützung für backlog_time_wait Einstellung über AUDITCTL
- Update syscall Tabellen für den 3.18 Kernel
- Ignorieren DNS-Fehler für die E-Mail-Validierung in auditd (# 1138674)
- Lassen Sie drehen, wie Maßnahmen für space_left und disk_full in auditd.conf
- Die korrekte Anmeldezusammenfassenden Bericht der aureport
- AUDITCTL Systemaufrufe können jetzt Komma getrennte Liste
- Update-Regeln für neue Subsysteme und Fähigkeiten
Was ist neu in der Version 2.3.2:
- Legen RefuseManualStop in die richtige systemd Abschnitt (# 969345 )
- In Legacy Neustart Skripte für systemd Unterstützung
- Fügen Sie weitere syscall Argument Interpretationen
- In "entschärft" Schlüsselwort für uid und gid-Werte in AUDITCTL
- In ausearch, analysieren obj in IPC records
- In ausearch, analysieren subj in DAEMON_ROTATE records
- Fix Interpretation MQ_OPEN und MQ_NOTIFY Veranstaltungen
- In auditd, Neustart Dispatcher auf SIGHUP, wenn sie zuvor beendet
- In audispd, Ausgang, wenn keine aktiven Plugins werden auf recon erkannt
- In audispd, klares Signal Maske durch libev so eingestellt, dass SIGHUP funktioniert wieder
- In audispd, verfolgen binären Plugins und neu starten, wenn binäre wurde aktualisiert
- In audispd, stellen Sie sicher, wir senden Signale an den richtigen Prozess
- In auditd, klares Signal Maske bei Laich jeden untergeordneten Prozess
- In audispd, stellen eingebauten Plugins reagieren auf SIGHUP
- In auparse, interpretieren Modus Flaggen von offenen Systemaufruf übergeben wird, wenn O_CREAT
- In audisp-Fernbedienung, machen keine Adresssuche immer dauerhaften Ausfall
- In audisp-Fernbedienung, effizienter zu entfernen EOE Veranstaltungen
- In auditd, melden Sie den Grund, wenn E-Mail-Konto nicht gültig ist
- In audisp-Fernbedienung, ändern Standard remote_ending Aktion wieder zu verbinden
- Hinzufügen von Unterstützung für Aarch64 Prozessoren
Was ist neu in der Version 2.2.1:
- Fügen Sie weitere Interpretationen in auparse für syscall Parameter
- Fügen Sie einige Interpretationen für syscall Parameter ausearch
- In ausearch / Bericht und auparse, zuzuweisen zusätzlichen Raum für Knotennamen
- Update syscall Tabellen für den Kernel 3.3.0
- Update libev zu 4.0.4
- Reduzieren Sie die Größe einiger Anwendungen
- In AUDITCTL, überprüfen Nutzung gegen euid statt uid
Was ist neu in der Version 2.1.1:
- Wenn ausearch wird interpretting, Ausgang & quot; wie & quot ; wenn keine = gefunden
- Die richtige Buchse Setup in die Remote-Protokollierung
- Bereinigt ein paar Standardeinstellungen für Remote-Protokollierung und Init-Skript
- audispd nicht Kennzeichnung eingestellt Plugins als aktive
- Audisp-Fernbedienung sollte eine Fähigkeit zu halten, wenn local_port & lt; 1024
- Wenn audispd startet Plugin, schicken Ereignis in ihrem bevorzugten Format
- In audisp-Fernbedienung, stellen alle I / O asynchrone
- In audisp-Fernbedienung, fügen SIGUSR1 Handler internen Zustand Dump
- Fix autrace korrekte Systemaufrufe auf s390 und s390x Systeme verwenden
- Fügen Sie Still syscall den Remote Logging Teardowns
- Correct autrace Regel für die 32-Bit-Systeme
Was ist neu in der Version 2.1:
- Update AUDITCTL man-Seite für neue Feld Benutzerfilter
- Fix Absturz in aulast wenn AUID ist systemfremden
- Säuberung der Quelltexte
- In Speicher- und Weiterleitungsmodell audispd-Fernbedienung (Mirek TRMAC)
- Freier Speicher auf versagt Start-ups in audisp-Auftakt
- Fix Speicherleck in aureport
- Fix Parsen Zustand Problem in libauparse
- Verbesserung der Robustheit der libaudit Feld Codierungsfunktionen
- Update-Fähigkeit Tabellen
- In auditd, stellen Ausfall Aktion Konfigurationsprüfung im Einklang
- In auditd, überprüfen Sie, dass NULL wird nicht geführt, um safe_exec
- In audisp-Fernbedienung, overflow_action wurde nicht suspendiert, wenn diese Maßnahme gewählt wurde
- Update für virt Interpretationen Veranstaltungen
- Erhöhen Sie die Remote-Protokollierung Warn- und Fehlermeldungen
- In Interpretationen netfilter Veranstaltungen
Was ist neu in der Version 2.0.6:
- ausearch / report Leistungsverbesserungen
- Synchronisieren Sie alle Proben syscall Vorschriften, Maßnahmen zu nutzen, die Liste
- Wenn Programmnamen versehen, um audit_log_acct_message, entkommen
- Fix-man-Seite für den audit_encode_nv_string Funktion (# 647131)
- Wenn Wert NULL ist, nicht segfault weiß (# 647128)
- Fix einfaches Ereignis Parsen, nicht davon ausgehen, Session-ID kann nicht zuletzt sein (Peng Haitao)
- Hinzufügen von Unterstützung für neue mmap Prüfungsereignistyp
- In Fähigkeit audispd syslog-Plugin, um zu wählen Anlage local0-7 (# 593340)
- Fix autrace korrekte Systemaufrufe auf i386-Systemen zu verwenden (Peng Haitao)
- Beim Start und reconfig, überprüfen Sie für Über Protokolle und unlink sie
- Fügen Sie ein paar fehlende Parser Debug-Meldungen
- Fix Fehlerausgabeauflösungs numerische Adresse und Update-man-Seite
- In netfilter Ereignistypen
- Fix Rechtschreibfehler in audit.rules man-Seite (# 667845)
- Erhöhen Warnung in Bezug auf AUDITCTL unveränderlichen Modus (# 654883)
- Update syscall Tabellen für den 2.6.37-Kernel
- In ausearch, ermöglichen die Suche nach AUID -1
- In Warteschlange overflow_action zu audisp-Fernbedienung, um Warteschlangenüberläufe zu steuern
- Proben Vorschriften für neue Systemaufrufe und Pakete aktualisieren
Was ist neu in der Version 2.0.5:
- Ein paar Fixes wurden gemacht 32-Bit- Systeme bei Verwendung eines inode Feld in Regeln.
- Syscall Tabellenaktualisierungen wurden neueren Kerneln werden.
- Neue Termine wurden für den Dienst Start hinzugefügt / Stopp und Virtualisierung.
- Die Handhabung des ignorieren Richtlinie in AUDITCTL wurde behoben.
Was ist neu in der Version 2.0.3:
- Viele Remote Logging Korrekturen wurden durchgeführt, einschließlich einer potenziellen Sicherheitsproblem, wenn gssapi aktiviert war.
Was ist neu in Version 2.0.1:.
- getloginuid wurde für Python-Bindungen fixiert
- Die audispd AF_UNIX Plugin wurde standardmäßig deaktiviert.
- Ein Fehler in Remote-Protokollierung wurde behoben.
- Die Init-Skript wurde aktualisiert.
- Die man-Seite wurde aktualisiert.
Kommentare nicht gefunden