Questions tagged «audit»

我知道我可以lsof 及时在Linux机器上使用来查看进程的打开文件。但是，进程可以如此快速地打开，更改和关闭文件，以致在使用标准外壳脚本（例如watch）监视文件时，我无法看到它，如“在Linux上监视打开的进程文件（实时）”中所述。。 因此，我认为我正在寻找一种简单的方法来审核流程，并查看经过一段时间后所做的工作。如果还可以查看（尝试）建立了哪些网络连接并在没有时间开始审核之前有时间运行审核，则可以开始审核。 理想情况下，我想这样做： sh $ audit-lsof /path/to/executable 4530.848254 OPEN read /etc/myconfig 4530.848260 OPEN write /var/log/mylog.log 4540.345986 OPEN read /home/gert/.ssh/id_rsa <-- suspicious 4540.650345 OPEN socket TCP ::1:34895 -> 1.2.3.4:80 | [...] 4541.023485 CLOSE /home/gert/.ssh/id_rsa <-- would have missed 4541.023485 CLOSE socket TCP ::1:34895 -> 1.2.3.4:80 | this when polling 使用strace和一些标志看不到每个系统调用是否可能？

41 process  open-files  lsof  audit 

我刚刚从bash提示符处执行了一个长时间运行的过程。事后看来，我希望我继续尝试time一下，或者记下启动它的时间。 有什么方法可以追溯获取此信息？在.bash_history似乎不包含时间戳。 在我的特殊情况下，它是Mac OS X，但我对一般的Unix / Linux解决方案感兴趣。 要澄清的是，该过程现已完成，除非绝对必要，我宁愿不要再次运行它！

22 bash  osx  command-history  timestamps  audit 

我可以 auditctl -a always,exit -S all -F pid=1234 要记录由pid 1234完成的所有系统调用，并且： auditctl -a always,exit -S all -F ppid=1234 对于它的孩子们，但是我又该如何照顾他们的孙子及其子孙（当前和将来）？ 我不能依靠确实改变的（e）uid /（e）gid。 （请注意，使用strace也不是一种选择）

13 linux  audit  linux-audit 

简短版本：如何在Fedora系统上禁用审核消息（dmesg）？ Fedora系统一直在dmesg中记录“审核：成功”消息-这种极端的方式使得dmesg变得不可用，因为它已被这些消息填满（dmesg | grep -v audit为空）。这些消息是完全无用的，因为它们显然想通知用户某些日常内部过程已成功（调试某些内容时可能会感兴趣，但在这种情况下只是噪音）。 甚至命令行界面（使用Ctrl+ Alt+ 切换到非X tty时F2）也变得不可用，因为它总是被这些审计消息所困扰，无法读取用户实际运行的命令的输出。例如，输入用户名（登录）后，会弹出一条审核消息（显然告诉用户已成功格式化/打印了某些内容）： 审核：类型= 1131审核（1446913801.945：10129）：pid = 1 uid = 0 auid = 4294967295 ses = 4294967295 msg ='unit = fprintd comm =“ systemd” exe =“ / usr / lib / systemd / systemd”主机名=？addr =？终端=？res =成功” 看来这些消息中的大多数都指示“成功”，但是也有许多审计消息不包含此关键字。运行Chromium会触发数百种此类事件： 审核：类型= 1326审核（1446932349.568：10307）：auid = 500 uid = 500 …

11 linux  fedora  systemd  networkmanager  audit 

我试图找到如何记录特定的实例化，rrdtool以查看其接收的路径是否不正确。 我知道我可以将可执行文件包装在可以记录参数的shell脚本中，但是我想知道是否还有一种更特定于内核的方式来监视它，也许是一个文件系统回调，它可以在特定的/ proc / pid / exe文件中看到匹配给定的二进制？

11 logs  proc  arguments  audit 

是否有命令显示修改文件的用户列表以提供文件历史记录？ 我知道可以用svn / git等。但是我们有一个不在SVN中的配置文件，有人对其进行了修改。

9 linux  files  audit 

我有此用户，但其sudo权限有限，但是他设法不时搞砸。我想密切注意他的冒险历程，以便我能以更少的挖掘力来弥补任何损失。理想情况下，我希望具有以下功能的服务可以很好地集成和呈现 曲目外壳输入和输出一样ttyrec（或者script或者sudo如果日志记录设置），并可以重放像ttyplay（或会话scriptreplay或sudoreplay）兼容性与ncurses的程序将是很好的，但不是必需的，ttyrec显然可以做到这一点。 跟踪文件访问，创建和修改。理想情况下，每次更改或删除文件时，它也可以备份文件。 到目前为止，我已经找到了一些我必须设置的工具才能获得大多数所需的功能，但是我还没有遇到能够很好地集成它们的OSS产品（Lynis社区版在功能上还不清楚） 。 我可以把ttyrec $(mktemp)，script $(mktemp)或sudo -u $USER -i（使用sudo的日志记录设置）在其.bashrc登录的外壳IO。 建立审计跟踪一些目录的文件访问，像/usr，/etc，/var。 他登录时创建LVM快照，但这有点过头了，并且可能会降低系统性能。 编辑： ttyrec似乎是一个更好的选择script，它将满足我所有的IO日志记录要求。现在，我需要找到一种记录文件操作的好方法。 如有任何建议或最佳做法的建议，我将不胜感激。

8 linux  bash  debian  audit  typescript 

我想为我管理的系统上的所有用户修改历史记录设置。我希望它包含来自连接终端的信息，例如来自who sysadmin:/ # who sysadmin pts/0 Mar 26 07:11 (sysadmin.doofus.local) 我目前通过以下方式修改我的历史记录。我知道其中许多设置已在这里讨论过几次。但是，很久以前，我从“ Linux系统管理食谱：Juliet Kemp ”中提取了此代码。 shopt -s histappend PROMPT_COMMAND='history -n;history -a' HISTSIZE=100000 HISTFILESIZE=100000 HISTTIMEFORMAT="%m/%d/%y %T " shopt -s histappend 解决了当您有多个终端时打开的信息可能会丢失的问题。 PROMPT_COMMAND='history -n;history -a' 扩展以提供跨多个终端的实时历史记录。 HISTSIZE=100000 HISTFILESIZE=100000 延长history保留时间 HISTTIMEFORMAT="%m/%d/%y %T “在历史的每一行前都加上时间戳 您通常会得到什么 history 835 ls 836 cd .. 我修改的当前history结果 5853 03/26/12 07:16:49 …

8 shell  users  command-history  audit