本發(fā)明涉及服務(wù)器技術(shù)領(lǐng)域�,具體的說(shuō)是一種用于Linux的audit日志分析方法�。
背景技術(shù):
Linux內(nèi)核有用日志記錄事件的能力,比如記錄系統(tǒng)調(diào)用和文件訪問(wèn)�����。然后,管理員可以評(píng)審這些日志�����,確定可能存在的安全裂口����,比如失敗的登錄嘗試,或者用戶對(duì)系統(tǒng)文件不成功的訪問(wèn)����。這種功能稱為L(zhǎng)inux審計(jì)系統(tǒng)。
Audit能夠滿足記錄文件變化�����、記錄用戶對(duì)文件的讀寫���,甚至記錄系統(tǒng)調(diào)用���,文件變化通知等需求。針對(duì)不同的操作系統(tǒng)都可以配置Audit子系統(tǒng)來(lái)搜集系統(tǒng)事件�����。Audit子系統(tǒng)是搜集系統(tǒng)運(yùn)行中所發(fā)生的事件,可以根據(jù)這些事件包括在Kernel events(syscall events)�,User events(audit-enabled programs)等信息,來(lái)分析確定可能存在的安全裂口���,比如失敗的登錄嘗試�����,或者用戶對(duì)系統(tǒng)文件不成功的訪問(wèn)�。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明針對(duì)目前技術(shù)發(fā)展的需求和不足之處�����,提供一種用于Linux的audit日志分析方法���。
本發(fā)明所述一種用于Linux的audit日志分析方法��,解決上述技術(shù)問(wèn)題采用的技術(shù)方案如下:所述一種用于Linux的audit日志分析方法�,通過(guò)在Linux操作系統(tǒng)中進(jìn)行Audit的配置及分析����,從Audit子系統(tǒng)中查看系統(tǒng)事件,搜索確定安全裂口��;其實(shí)現(xiàn)過(guò)程主要包括如下步驟:1)audit服務(wù)端安裝�����,2)audit客戶端配置����,3)修改audit規(guī)則,4)audit分析����。
優(yōu)選的,所述1)audit服務(wù)端安裝這一步驟主要包括:(1)安裝audit��;(2)修改/etc/audit/auditd.conf文件進(jìn)行配置���;(3)重啟audit服務(wù)����。
優(yōu)選的���,所述2)audit客服端配置這一步驟主要包括:(1)在客戶端上面安裝audispd-plugins���;(2)修改/etc/audisp/audisp-remote.conf配置遠(yuǎn)程服務(wù)端地址����;(3)修改/etc/audisp/plugins.d/au-remote.conf文件�;(4)重啟audit服務(wù)。
優(yōu)選的����,所述3)修改audit規(guī)則這一步驟主要包括:通過(guò)修改/etc/audit/audit.rules目錄,添加規(guī)則鏈�;或者,通過(guò)使用auditctl命令進(jìn)行規(guī)則鏈的添加�����。
優(yōu)選的����,所述4)audit分析這一步驟主要包括:使用ausearch和aureport命令進(jìn)行audit的日志分析,能夠通過(guò)man命令進(jìn)行查看�����。
本發(fā)明所述一種用于Linux的audit日志分析方法與現(xiàn)有技術(shù)相比具有的有益效果是:本發(fā)明針對(duì)不同的操作系統(tǒng)配置Audit子系統(tǒng)來(lái)搜集系統(tǒng)事件��,通過(guò)audit的配置���,能夠詳細(xì)地看出系統(tǒng)調(diào)用��,用戶訪問(wèn)等信息����;并通過(guò)記錄的系統(tǒng)調(diào)用以及用戶訪問(wèn)等事件信息���,可以分析那些系統(tǒng)調(diào)用及用戶訪問(wèn)失敗的問(wèn)題����,以便于及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞等��,提高了系統(tǒng)的穩(wěn)定性和產(chǎn)品性能�。
具體實(shí)施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白���,以下結(jié)合具體實(shí)施例�,對(duì)本發(fā)明所述一種用于Linux的audit日志分析方法進(jìn)一步詳細(xì)說(shuō)明���。
實(shí)施例:
本實(shí)施例一種用于Linux的audit日志分析方法�����,通過(guò)在Linux操作系統(tǒng)中進(jìn)行Audit的配置及分析��,從Audit子系統(tǒng)中查看系統(tǒng)事件��,提高對(duì)安全裂口的搜索�;其實(shí)現(xiàn)過(guò)程主要包括如下步驟:1)audit服務(wù)端安裝,2)audit客戶端配置�����,3)修改audit規(guī)則�����,4)audit分析�。
所述1)audit服務(wù)端安裝這一步驟主要包括:
(1)安裝audit;
執(zhí)行yum install audit
(2)修改/etc/audit/auditd.conf文件進(jìn)行配置�����;
例如:
修改tcp_listen_port=1000
修改完成后�����,執(zhí)行semanage port-a-t audit_port_t-p tcp 1000使之生效。(3)重啟audit服務(wù)���;
執(zhí)行service auditd restart����。
所述2)audit客服端配置這一步驟主要包括:
(1)在客戶端上面安裝audispd-plugins
執(zhí)行yum install audispd-plugins
(2)修改/etc/audisp/audisp-remote.conf配置遠(yuǎn)程服務(wù)端地址���;
remote_server=x.x.x.x
port=1000
(3)修改/etc/audisp/plugins.d/au-remote.conf文件如下:
active=y(tǒng)es
direction=out
path=/sbin/audisp-remote
type=always
#args=
format=string
(4)重啟audit服務(wù)。
所述3)修改audit規(guī)則這一步驟主要包括:通過(guò)修改/etc/audit/audit.rules目錄��,添加規(guī)則鏈�����;或者�����,通過(guò)使用auditctl命令進(jìn)行規(guī)則鏈的添加���。
所述4)audit分析這一步驟主要包括:使用ausearch和aureport命令進(jìn)行audit的日志分析�����,具體使用方法可通過(guò)man命令進(jìn)行查看���。
上述具體實(shí)施方式僅是本發(fā)明的具體個(gè)案��,本發(fā)明的專利保護(hù)范圍包括但不限于上述具體實(shí)施方式���,任何符合本發(fā)明的權(quán)利要求書(shū)的且任何所屬技術(shù)領(lǐng)域的普通技術(shù)人員對(duì)其所做的適當(dāng)變化或替換,皆應(yīng)落入本發(fā)明的專利保護(hù)范圍��。