服务器安全审计功能（服务器安全审计）

很多人对服务器安全审计功能，服务器安全审计不是很了解那具体是什么情况呢，现在让我们一起来瞧瞧吧！

1、材料：Linux审计系统auditd 套件步骤：安装 auditdREL/centos默认已经安装了此套件，如果你使用ubuntu server，则要手工安装它：sudo apt-get install auditd它包括以下内容：auditctl : 即时控制审计守护进程的行为的工具，比如如添加规则等等。

2、/etc/audit/audit.rules : 记录审计规则的文件。

3、aureport : 查看和生成审计报告的工具。

4、ausearch : 查找审计事件的工具auditspd : 转发事件通知给其他应用程序，而不是写入到审计日志文件中。

5、autrace : 一个用于跟踪进程的命令。

6、/etc/audit/auditd.conf : auditd工具的配置文件。

7、Audit 文件和目录访问审计首次安装 auditd 后, 审计规则是空的。

8、可以用 sudo auditctl -l 查看规则。

9、文件审计用于保护敏感的文件，如保存系统用户名密码的passwd文件，文件访问审计方法：sudo auditctl -w /etc/passwd -p rwxa-w path : 指定要监控的路径，上面的命令指定了监控的文件路径 /etc/passwd-p : 指定触发审计的文件/目录的访问权限rwxa ： 指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）目录进行审计和文件审计相似，方法如下：$ sudo auditctl -w /production/以上命令对/production目录进行保护。

10、3. 查看审计日志添加规则后，我们可以查看 auditd 的日志。

11、使用 ausearch 工具可以查看auditd日志。

12、sudo ausearch -f /etc/passwd-f 设定ausearch 调出 /etc/passwd文件的审计内容4. 查看审计报告以上命令返回log如下：time->Mon Dec 22 09:39:16 2016type=PATH msg=audit(1419215956.471:194): item=0 name=\"/etc/passwd\"inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMALtype=CWD msg=audit(1419215956.471:194): cwd=\"/home/somebody\"type=SYSCALL msg=audit(1419215956.471:194): arch=40000003 syscall=5 success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231 auid=4294967295 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295comm=\"sudo\" exe=\"/usr/bin/sudo\" key=(null)time : 审计时间。

13、name : 审计对象cwd : 当前路径syscall : 相关的系统调用auid : 审计用户IDuid 和 gid : 访问文件的用户ID和用户组IDcomm : 用户访问文件的命令exe : 上面命令的可执行文件路径以上审计日志显示文件未被改动。

本文【服务器安全审计功能（服务器安全审计）】到此讲解完毕了，希望对大家有帮助。