Linux命令审计:全面掌控系统运行(linux命令审计)
情况
Linux 命令审计,本质上就是记录、监测和审计系统用户使用的 Linux 命令,以更彻底地了解运行在 Linux 系统上的各类应用程序所执行任务的全貌。它能够通过审计 Linux 命令,看到系统上正在运行的那些应用程序,以及哪些系统文件在不同时间被访问或操作,同时还能发现 Linux 系统上的潜在安全漏洞和攻击。
Linux 命令审计(auditing)系统能记录每一个登录用户的会话并保留会话的历史记录,例如已输入的命令和输出的结果,以及系统内核日志和活动日志等,这一切都可以用来辅助系统运维者,检测和细查系统上出现的异常情况和安全问题。
要有效地管理 Linux 系统,用户可以利用 auditctl 命令来管理和审计 Linux 系统中动态变化的系统资源,它可以让开发者采用一种像 Shell 一样的方式,管理当前的系统审计设置,比如:
# auditctl -a exit,always -F arch=b32 -S execve -k systemcall
审计『exece』系统调用,在32位架构下总是启用:
用户可以利用 “auditctl -s” 命令来查看当前审计系统设置,“ausearch”可以快速高效地查询审计日志,它能通过设置过滤条件来快速查找任何特定的活动日志,特别是对那些巨大的审计日志来说,这是很有实用价值的。
总结来说,Linux 命令审计是系统运维的必备技能,它能够翔实地记录用户的 System Call和相关的一些日志,可以实现对系统本身以及应用程序的执行过程的完整跟踪,对进一步保护系统安全有利。