Questions tagged «audit»

1
如何实时监视进程的打开文件?
我知道我可以lsof 及时在Linux机器上使用来查看进程的打开文件。但是,进程可以如此快速地打开,更改和关闭文件,以致在使用标准外壳脚本(例如watch)监视文件时,我无法看到它,如“在Linux上监视打开的进程文件(实时)”中所述。。 因此,我认为我正在寻找一种简单的方法来审核流程,并查看经过一段时间后所做的工作。如果还可以查看(尝试)建立了哪些网络连接并在没有时间开始审核之前有时间运行审核,则可以开始审核。 理想情况下,我想这样做: sh $ audit-lsof /path/to/executable 4530.848254 OPEN read /etc/myconfig 4530.848260 OPEN write /var/log/mylog.log 4540.345986 OPEN read /home/gert/.ssh/id_rsa <-- suspicious 4540.650345 OPEN socket TCP ::1:34895 -> 1.2.3.4:80 | [...] 4541.023485 CLOSE /home/gert/.ssh/id_rsa <-- would have missed 4541.023485 CLOSE socket TCP ::1:34895 -> 1.2.3.4:80 | this when polling 使用strace和一些标志看不到每个系统调用是否可能?

4
事后查找命令执行时间
我刚刚从bash提示符处执行了一个长时间运行的过程。事后看来,我希望我继续尝试time一下,或者记下启动它的时间。 有什么方法可以追溯获取此信息?在.bash_history似乎不包含时间戳。 在我的特殊情况下,它是Mac OS X,但我对一般的Unix / Linux解决方案感兴趣。 要澄清的是,该过程现已完成,除非绝对必要,我宁愿不要再次运行它!

1
如何记录已审核的流程及其后代的所有系统调用
我可以 auditctl -a always,exit -S all -F pid=1234 要记录由pid 1234完成的所有系统调用,并且: auditctl -a always,exit -S all -F ppid=1234 对于它的孩子们,但是我又该如何照顾他们的孙子及其子孙(当前和将来)? 我不能依靠确实改变的(e)uid /(e)gid。 (请注意,使用strace也不是一种选择)

3
如何在dmesg中禁用无用的“审核成功”日志条目
简短版本:如何在Fedora系统上禁用审核消息(dmesg)? Fedora系统一直在dmesg中记录“审核:成功”消息-这种极端的方式使得dmesg变得不可用,因为它已被这些消息填满(dmesg | grep -v audit为空)。这些消息是完全无用的,因为它们显然想通知用户某些日常内部过程已成功(调试某些内容时可能会感兴趣,但在这种情况下只是噪音)。 甚至命令行界面(使用Ctrl+ Alt+ 切换到非X tty时F2)也变得不可用,因为它总是被这些审计消息所困扰,无法读取用户实际运行的命令的输出。例如,输入用户名(登录)后,会弹出一条审核消息(显然告诉用户已成功格式化/打印了某些内容): 审核:类型= 1131审核(1446913801.945:10129):pid = 1 uid = 0 auid = 4294967295 ses = 4294967295 msg ='unit = fprintd comm =“ systemd” exe =“ / usr / lib / systemd / systemd”主机名=?addr =?终端=?res =成功” 看来这些消息中的大多数都指示“成功”,但是也有许多审计消息不包含此关键字。运行Chromium会触发数百种此类事件: 审核:类型= 1326审核(1446932349.568:10307):auid = 500 uid = 500 …

3
是否有一种简单的方法来记录所有执行的命令,包括命令行参数?
我试图找到如何记录特定的实例化,rrdtool以查看其接收的路径是否不正确。 我知道我可以将可执行文件包装在可以记录参数的shell脚本中,但是我想知道是否还有一种更特定于内核的方式来监视它,也许是一个文件系统回调,它可以在特定的/ proc / pid / exe文件中看到匹配给定的二进制?
11 logs  proc  arguments  audit 


1
如何最好地跟踪新手管理员的冒险经历
我有此用户,但其sudo权限有限,但是他设法不时搞砸。我想密切注意他的冒险历程,以便我能以更少的挖掘力来弥补任何损失。理想情况下,我希望具有以下功能的服务可以很好地集成和呈现 曲目外壳输入和输出一样ttyrec(或者script或者sudo如果日志记录设置),并可以重放像ttyplay(或会话scriptreplay或sudoreplay)兼容性与ncurses的程序将是很好的,但不是必需的,ttyrec显然可以做到这一点。 跟踪文件访问,创建和修改。理想情况下,每次更改或删除文件时,它也可以备份文件。 到目前为止,我已经找到了一些我必须设置的工具才能获得大多数所需的功能,但是我还没有遇到能够很好地集成它们的OSS产品(Lynis社区版在功能上还不清楚) 。 我可以把ttyrec $(mktemp),script $(mktemp)或sudo -u $USER -i(使用sudo的日志记录设置)在其.bashrc登录的外壳IO。 建立审计跟踪一些目录的文件访问,像/usr,/etc,/var。 他登录时创建LVM快照,但这有点过头了,并且可能会降低系统性能。 编辑: ttyrec似乎是一个更好的选择script,它将满足我所有的IO日志记录要求。现在,我需要找到一种记录文件操作的好方法。 如有任何建议或最佳做法的建议,我将不胜感激。

2
如何将网络或用户源连接数据添加到历史记录条目?
我想为我管理的系统上的所有用户修改历史记录设置。我希望它包含来自连接终端的信息,例如来自who sysadmin:/ # who sysadmin pts/0 Mar 26 07:11 (sysadmin.doofus.local) 我目前通过以下方式修改我的历史记录。我知道其中许多设置已在这里讨论过几次。但是,很久以前,我从“ Linux系统管理食谱:Juliet Kemp ”中提取了此代码。 shopt -s histappend PROMPT_COMMAND='history -n;history -a' HISTSIZE=100000 HISTFILESIZE=100000 HISTTIMEFORMAT="%m/%d/%y %T " shopt -s histappend 解决了当您有多个终端时打开的信息可能会丢失的问题。 PROMPT_COMMAND='history -n;history -a' 扩展以提供跨多个终端的实时历史记录。 HISTSIZE=100000 HISTFILESIZE=100000 延长history保留时间 HISTTIMEFORMAT="%m/%d/%y %T “在历史的每一行前都加上时间戳 您通常会得到什么 history 835 ls 836 cd .. 我修改的当前history结果 5853 03/26/12 07:16:49 …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.