Linux
01.系统维护
CPU
内存
drop_cache为什么有些不释放
swap交换分区
磁盘
lvm磁盘扩容
文件夹加密ecryptfs-utils
linux挂载ISCSI磁盘
创建lvm
fstab挂载文件系统
systemd.mount
存储故障
曲线为目录配置限额
lvm缩容
进程
如何找到某一个正在运行的进程?
CRIU进程快照
网络
TCP连接的10种状态
Ubuntu禁用ipv6
close_wait数量过多阻塞网络连接
IP地址与二进制转换
支持ACME的DNS服务器PowerDNS
系统
CentOS版本及对应默认内核版本
修改shell语言
系统启动流程
cgroup
CentOS7升级内核并开启BBR
配置内核参数优化linux
更新grub2默认启动的内核
CentOS-SCLo源
修改键盘映射
Debian12升级时内核编译错误
timesync(ntp)
内核
drop_caches
软件
更新openssl
GUI
Gnome Workspace Names
02.系统安全
Auditd审计服务配置
ssh登陆免公钥验证
恶意脚本处置
2023挖矿脚本m0nad
为ssh服务添加多因子认证
03.基本概念
Out Of Memory
70.QEMU
磁盘格式转换
80.LFS
90.常用脚本
使用except修改操作系统密码
init.d脚本模板
shell脚本判断参数数量
安装oh-my-zsh
systemd脚本模板
端口测试
适用于truenas的ipv6阿里云ddns脚本
更新nginx白名单
将文件改名为md5值
djvu转换为pdf并ocr
99.常用命令
man page中命令后的数字释义
tcpdump
nslookup
nc
rsync
awk
sed
echo
rm
tar
chage
auditctl
ausearch
ab
openssl
parted
find
date
firewall-cmd
sort
vmstat
nice-调整进程的优先级
top
taskset-进程绑定CPU核心
iptables
iostat
sysctl
tr
rpmbuild
转载nginx.spec含说明
安装使用rpmbuild
unpacked files found
grep
vimtutor
tlinux - tos
snmpwalk
chattr
本文档使用 MrDoc 发布
-
+
首页
Auditd审计服务配置
# Auditd审计服务配置 ## 安装 CentOS系统安装后默认会安装审计服务,如果不存在可以使用 ``` yum -y install audit audit-libs audit-libs-python ``` ## 配置 ``` [root@localhost ~]# cat /etc/audit/auditd.conf # # This file controls the configuration of the audit daemon # local_events = yes write_logs = yes log_file = /var/log/audit/audit.log # 日志文件位置 log_group = root log_format = ENRICHED flush = INCREMENTAL_ASYNC freq = 50 max_log_file = 8 # 日志文件大小,单位Mb num_logs = 5 # 日志文件数量 priority_boost = 4 name_format = NONE # 日志文件主机名名称,一般不用 ##name = mydomain max_log_file_action = ROTATE # 日志文件达到最大大小和数量后的动作,ROTATE就是循环滚动使用 space_left = 75 space_left_action = SYSLOG verify_email = yes action_mail_acct = root admin_space_left = 50 admin_space_left_action = SUSPEND disk_full_action = SUSPEND disk_error_action = SUSPEND use_libwrap = yes ##tcp_listen_port = 60 tcp_listen_queue = 5 tcp_max_per_addr = 1 ##tcp_client_ports = 1024-65535 tcp_client_max_idle = 0 transport = TCP krb5_principal = auditd ##krb5_key_file = /etc/audit/audit.key distribute_network = no q_depth = 400 overflow_action = SYSLOG max_restarts = 10 plugin_dir = /etc/audit/plugins.d ``` ## 基本命令 ```shell # 查看状态 systemctl status auditd service auditd status auditctl -s # 查看审计规则 auditctl -l ``` ## 配置审计规则 ### 临时配置规则 [auditctl](https://blog.ihoiwan.com/project-2/doc-137/ "auditctl") - `-w` 指定所要监控的文件或命令 - `-p` 指定监控属性,如x执行、w修改 - `-k` 是设置一个关键词用于查询 ```shell auditctl -w /bin/rm -p x -k removefile ``` ### 永久配置审计规则 修改或添加后需要重启服务。 ```shell # 在/etc/audit/rules.d 下添加审计规则文件 [root@localhost ~]# cat rm.rules -w /bin/rm -p x -k removefile [root@localhost ~]# systemctl restart auditd ``` ### 搜索审计日志 [ausearch](https://blog.ihoiwan.com/project-2/doc-139/ "ausearch") 事先已用[auditctl](https://blog.ihoiwan.com/project-2/doc-137/ "auditctl")或`audit.rules`文件定义了`key` ```shell ausearch -k removefile ``` ## 整理的一些简单规则 ``` [root@localhost ~]# cat common.rules # 监控passwd命令执行 -w /bin/passwd -p x -k changepassword # 监控文件删除 -w /bin/rm -p x -k removefile # 监控密码文件变更 -w /etc/shadow -p w -k changeshadow # 监控secure日志文件变更,可以将secure文件配置为其它任何文件,记录变更记录,记得修改-k $key -a always,exit -F arch=b64 -F path=/var/log/secure -F perm=wa -S openat -k open_secure_file ```
zhangky
2021年6月9日 17:41
分享文档
收藏文档
上一篇
下一篇
微信扫一扫
复制链接
手机扫一扫进行分享
复制链接
关于 MrDoc
觅思文档MrDoc
是
州的先生
开发并开源的在线文档系统,其适合作为个人和小型团队的云笔记、文档和知识库管理工具。
如果觅思文档给你或你的团队带来了帮助,欢迎对作者进行一些打赏捐助,这将有力支持作者持续投入精力更新和维护觅思文档,感谢你的捐助!
>>>捐助鸣谢列表
微信
支付宝
QQ
PayPal
Markdown文件
分享
链接
类型
密码
更新密码