demonio de auditoría (auditd) es un código abierto, libre y no interactivo demonio, un programa de línea de comandos que proporciona las herramientas de espacio de usuario necesarias para la creación de normas de auditoría en los sistemas operativos basados en kernel de Linux.
Funciona como un marco de auditoría independiente limitada
El software también se puede utilizar para la búsqueda y el almacenamiento de los registros de auditoría que se han generado por el subsistema de auditoría en el kernel de Linux 2.6 o posterior. Funciona como un marco de auditoría independiente limitado en su distribución de GNU / Linux.
El Marco de Auditoría Linux
También conocida como la Auditoría Marco Linux, el proyecto demonio de auditoría fue creado inicialmente para proporcionar la llamada al sistema de auditoría sin pisar la funcionalidad existente proporcionada por proyectos como SELinux.
Cómo funciona el programa
El programa se puede abrir y cerrar archivos de registro de auditoría que se encuentran en las carpetas especificadas en el archivo audit_control. Se llevará a todos los archivos en el orden en que se especifican en el archivo y lee sólo los datos de auditoría del kernel. Luego, escribe que los datos a un archivo de registro de auditoría.
Además, se ejecuta un script llamado audit_warn cuando las carpetas de auditoría respectivos llenan más allá de los límites especificados por escrito en el archivo audit_control. demonio de auditoría le enviará alertas a la consola y al alias de correo audit_warn.
Instalar el demonio de auditoría
Para instalar el demonio de auditoría en el sistema operativo GNU / Linux usando el paquete fuente, usted tendrá que primero descargarlo desde su web oficial (ver el enlace de página al final del artículo), guarde el archivo en su Hogar directorio, y descomprimirlo usando una herramienta de administrador de archivos.
En un emulador de terminal, vaya a la ubicación de los archivos comprimidos extraídos utilizando el y lsquo; CD & rsquo; comando (por ejemplo /home/softoware/audit-2.4.1 cd), ejecute el y lsquo; ./ configure && make y rsquo; comando para configurar y compilar el programa, a continuación, ejecute el y lsquo; sudo make install y rsquo; comando para instalarlo todo el sistema
¿Qué hay de nuevo en esta versión:.
- Añadir soporte python3 para libaudit
- advertencias automake Cleanup
- Añadir AuParser_search_add_timestamp_item_ex de enlaces Python
- Añadir AuParser_get_type_name de enlaces Python
- procesamiento correcto de obj_gid en AUDITCTL (Aleksander Zdyb)
- Crear archivo de configuración plugin de analizar más sólido para las líneas largas (# 1235457)
- Haga impresión estado AUDITCTL terreno perdido como número sin signo
- Añadir el modo de interpretación para AUDITCTL -s
- Añadir soporte python3 para auparse biblioteca
- Haga una opción de configuración del tiempo de construcción --enable-zos remoto (Clayton Shotwell)
- Las actualizaciones para compilación cruzada (Clayton Shotwell)
- Añadir MAC_CHECK tipo de evento de auditoría
- Añadir archivo pkgconfig libauparse (Aleksander Zdyb)
¿Qué hay de nuevo en la versión 2.4.1:
- Haga apoyo python3 fácil
- Añadir soporte para ppc64le (Tony Jones)
- Añadir algunas traducciones para a1 del sistema ioctl llama
- Agregar comando y virtualización de informes para aureport
- Informe de Actualización config aureport para nuevos eventos
- Añadir cuenta informe resumido modificación aureport
- Añadir GRP_MGMT y GRP_CHAUTHTOK tipos de eventos
- Cambio cuenta aureport correcta li>
- Añadir informe de eventos integridad para aureport
- Añadir config informe de resumen de cambios a aureport
- Ajustar algunos ajustes de nivel syslogging en audispd
- Mejorar el análisis de desempeño en todo
- Cuando ausearch da salida a una línea, utilice los valores anteriormente analizados (Burn Alting)
- Ampliar búsqueda e interpretación de los grupos en los acontecimientos
- interpretar completamente el campo proctitle en auparse
- libaudit correcta y apoyo AUDITCTL para las características del kernel
- Añadir soporte para configuración backlog_time_wait través AUDITCTL
- mesas Actualización syscall para el kernel 3.18
- No haga caso de fallo de DNS para la validación de correo electrónico en auditd (# 1138674)
- Permitir rotación como acción para space_left y disk_full en auditd.conf
- correcta informe resumido de inicio de sesión de aureport
- AUDITCTL pueden ser lista separada por comas ahora
- Actualizar reglas para los nuevos subsistemas y capacidades
informes
syscalls
¿Qué hay de nuevo en la versión 2.3.2:
- Ponga RefuseManualStop en la sección systemd derecha (# 969,345 )
- Añadir guiones reinicio legado para el apoyo systemd
- Añadir más interpretaciones argumento syscall
- Añadir palabra clave 'desarmar' para los valores uid y gid en AUDITCTL
- En ausearch, analizar obj en los registros del IPC
- En ausearch, analizar subj en los registros DAEMON_ROTATE
- Fix interpretación de los acontecimientos MQ_OPEN y MQ_NOTIFY
- En auditd, despachador de reinicio en la SIGHUP si hubiera salido previamente
- En audispd, salida cuando no hay plugins activos se detectan en reconfigure
- En audispd, clara señal de máscara establecido por libev para que SIGHUP funciona de nuevo
- En audispd, realizar un seguimiento de los plugins binarios y reinicie si se actualizó binario
- En audispd, asegúrese de que enviamos señales al proceso correcto
- En auditd, claro máscara señal cuando el desove cualquier proceso hijo
- En audispd, hacer plugins orden interna responden a SIGHUP
- En auparse, interpretar banderas modo de syscall abierto si se pasa O_CREAT
- En audisp remoto, no hacer búsqueda de direcciones siempre un fracaso permanente
- En audisp remoto, retire eventos EOE más eficiente
- En auditd, ingrese la razón cuando la cuenta de correo electrónico no es válida
- En acción remote_ending cambio predeterminado audisp remoto para volver a conectar
- Añadir soporte para procesadores Aarch64
¿Qué hay de nuevo en la versión 2.2.1:
- Añadir más interpretaciones en auparse para los parámetros syscall
- Añadir algunas interpretaciones de ausearch para los parámetros syscall
- En ausearch / informe y auparse, asignar espacio adicional para los nombres de nodo
- mesas Actualización syscall para el kernel 3.3.0
- Actualizar libev a 4.0.4
- Reducir el tamaño de algunas aplicaciones
- En AUDITCTL, compruebe el uso contra euid vez de uid
¿Qué hay de nuevo en la versión 2.1.1:
- Cuando ausearch se interpretting, salida de & quot; como es & quot ; Si no se encuentra =
- Configuración toma correcta en el registro remoto
- ajustado la configuración de un par por defecto para el registro remoto y guión de inicio
- Audispd no estaba marcado plugins renovadas tan activo
- audisp remoto debe mantener una capacidad si local_port & lt; 1024
- Cuando audispd reinicia plugin, enviar un evento en su formato preferido
- En audisp remoto, hacer toda E / S asíncrona
- En audisp remoto, agregue manejador SIGUSR1 volcar estado interno
- autrace Fix utilizar syscalls correctos en los sistemas s390 y s390x
- Añadir syscall shutdown para demoliciones de registro remoto
- regla autrace correcta para sistemas de 32 bits de
¿Qué hay de nuevo en la versión 2.1:
- página de manual AUDITCTL Actualización para nuevo campo en el filtro de usuario
- Fix accidente en aulast cuando AUID es ajeno al sistema
- limpieza de código
- Añadir tienda y modelo directo a audispd remoto (Mirek Trmac)
- Memoria libre en arranques fallidos en audisp-preludio
- pérdida de memoria Fix en aureport
- Fijar analizar problema de Estado en libauparse
- Mejorar la robustez de las funciones de codificación campo libaudit
- tablas de capacidad de actualización
- En auditd, hacer acción de falla config comprobación constante
- En auditd, compruebe que NULL no se está pasando a safe_exec
- En audisp remoto, overflow_action no suspendía si se eligió esa acción
- Actualizar interpretaciones para eventos Virt
- Mejorar la advertencia registro remoto y los mensajes de error
- Añadir interpretaciones para eventos netfilter
¿Qué hay de nuevo en la versión 2.0.6:
- mejoras
- ausearch / rendimiento informe
- Sincronizar todas las reglas de la muestra syscall utilizar la acción, lista li>
- Si el nombre del programa proporciona a audit_log_acct_message, escapar de ella
- página de manual Arreglo para la función audit_encode_nv_string (# 647.131)
- Si el valor es NULL, no segfault (# 647128)
- Fijar sencilla evento analizar no asumir identificador de sesión no puede ser la última (Peng Haitao)
- Añadir soporte para nuevo tipo de eventos de auditoría mmap
- Añadir capacidad de plug-in syslog audispd elegir local0-7 instalación (# 593340)
- autrace Fix utilizar syscalls correctas en sistemas i386 (Peng Haitao)
- En el arranque y reconfig, compruebe si hay exceso de registros y desvincular ellos
- Añadir una pareja que faltan mensajes de depuración analizador
- salida de error Fix resolver página de dirección y actualizar hombre numérico
- Añadir tipos de eventos netfilter
- Fijar error de ortografía en la página audit.rules hombre (# 667845)
- Mejorar la advertencia en AUDITCTL respecto modo inmutable (# 654.883)
- mesas Actualización syscall para el kernel 2.6.37
- En ausearch, permite la búsqueda de AUID -1
- Añadir overflow_action cola para audisp remoto para controlar los desbordamientos de cola
- Actualizar reglas de ejemplo para las nuevas llamadas al sistema y paquetes
¿Cuál es nuevo en la versión 2.0.5:
- Un par de correcciones se hicieron para 32 bits sistemas cuando se utiliza un campo de inodos en reglas.
- actualizaciones de la tabla syscall se hicieron para núcleos recientes.
- Se añadieron nuevos eventos para el inicio del servicio / parada y la virtualización.
- El manejo de la directiva ignorar en AUDITCTL fue corregido.
¿Qué hay de nuevo en la versión 2.0.3:
- Muchas fixups de registro remoto se realizaron, incluyendo una potencial problema de seguridad si gssapi fue habilitado.
¿Qué hay de nuevo en la versión 2.0.1:.
- getloginuid se fijó para enlaces Python
- El plugin AF_UNIX audispd fue desactivado por defecto.
- Un error en el registro remoto se fijó.
- El script de inicio se ha actualizado.
- La página del manual se ha actualizado.
Comentarios que no se encuentran