audit Linux 用户空间审计工具

审计的目的是基于事先配置的规则生成日志，记录可能发生在系统上的事件（正常或非正常行为的事件），审计不会为系统提供额外的安全保护，但她会发现并记录违反安全策略的人及其对应的行为。

1. 审计能够记录的日志内容：
a) 日期与事件以及事件的结果
b) 触发事件的用户
c) 所有认证机制的使用都可以被记录，如ssh等
d) 对关键数据文件的修改行为等都可以被记录

2. 安装和启动
yum -y  install  audit
启动auditd
systemctl start auditd
systemctl enable auditd
日志位置： /var/log/audit/audit.log

3. 配置审计规则
auditctl  -s                        //查询状态
auditctl  -l                        //查看规则
auditctl  -D                        //删除所有规则
auditctl --help
usage: auditctl [options]
-a <l,a>            Append rule to end of <l>ist with <a>ction
-A <l,a>            Add rule at beginning of <l>ist with <a>ction
-b <backlog>        Set max number of outstanding audit buffers
                    allowed Default=64
-c                  Continue through errors in rules
-C f=f              Compare collected fields if available:
                    Field name, operator(=,!=), field name
-d <l,a>            Delete rule from <l>ist with <a>ction
                    l=task,exit,user,exclude
                    a=never,always
-D                  Delete all rules and watches
-e [0..2]           Set enabled flag
-f [0..2]           Set failure flag
                    0=silent 1=printk 2=panic
-F f=v              Build rule: field name, operator(=,!=,<,>,<=,
                    >=,&,&=) value
-h                  Help
-i                  Ignore errors when reading rules from file
-k <key>            Set filter key on audit rule
-l                  List rules
-m text             Send a user-space message
-p [r|w|x|a]        Set permissions filter on watch
                    r=read, w=write, x=execute, a=attribute
-q <mount,subtree>  make subtree part of mount point's dir watches
-r <rate>           Set limit in messages/sec (0=none)
-R <file>           read rules from file
-s                  Report status
-S syscall          Build rule: syscall name or number
-t                  Trim directory watches
-v                  Version
-w <path>           Insert watch at <path>
-W <path>           Remove watch at <path>
--loginuid-immutable  Make loginuids unchangeable once set
--reset-lost         Reset the lost record counter

定义临时文件系统规则
auditctl  -w  path  -p  permission  -k  key_name
# path为需要审计的文件或目录
# 权限可以是r,w,x,a(文件或目录的属性发生变化)
# Key_name为可选项，方便识别哪些规则生成特定的日志项
auditctl  -w  /etc/passwd  -p wa  -k  passwd_change  //设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
auditctl  -w  /etc/selinux/  -p wa  -k  selinux_change  //设置规则，监控/etc/selinux目录
auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition  //设置规则，监控fdisk程序
auditctl  -w  /etc/ssh/sshd_config  -p warx  -k  sshd_config  //设置规则，监控sshd_conf文件

如果需要创建永久审计规则，则需要修改规则配置文件
vim  /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_changes
-w /usr/sbin/fdisk -p x -k partition_disks
-w /etc/ssh/sshd_config  -p warx  -k  sshd_config

4. 通过工具搜索日志
系统提供的ausearch命令可以方便的搜索特定日志，默认该程序会搜索/var/log/audit/audit.log，ausearch options -if file_name可以指定文件名。
ausearch -k sshd_config -i   //根据key搜索日志，-i选项表示以交互式方式操作
ausearch -k passwd_changes -i 
ausearch -k partition_disks -i 

5. 内容分析
# type为类型
# msg为(time_stamp:ID)，时间是date +%s（1970-1-1至今的秒数）
# arch=c000003e，代表x86_64（16进制）
# success=yes/no，事件是否成功
# a0-a3是程序调用时前4个参数，16进制编码了
# ppid父进程ID，如bash，pid进程ID，如cat命令
# auid是审核用户的id，su - test, 依然可以追踪su前的账户
# uid，gid用户与组
# tty:从哪个终端执行的命令
# comm="cat"            用户在命令行执行的指令
# exe="/bin/cat"        实际程序的路径
# key="sshd_config"    管理员定义的策略关键字key
# type=CWD        用来记录当前工作目录
# cwd="/home/username"
# type=PATH
# ouid(owner's user id）    对象所有者id
# guid(owner's groupid）    对象所有者id