linux 审计敏感命令

Linux审计敏感命令主要涉及到auditd服务，这是Linux内核的审计功能，可以用来记录系统中的特定事件，例如文件访问、系统调用等。以下是对Linux审计敏感命令的基础概念、优势、类型、应用场景以及可能遇到的问题和解决方案的详细解释：

基础概念

auditd服务：Linux内核自带的审计服务，可以记录系统事件。
审计规则：定义哪些事件需要被记录，例如特定命令的执行。
审计日志：记录了所有被审计的事件。

优势

安全性：可以追踪和记录敏感操作，有助于发现潜在的安全威胁。
合规性：满足各种安全标准和法规的要求。
问题排查：通过审计日志可以追踪问题的根源。

类型

命令审计：记录特定命令的执行。
文件审计：记录对特定文件的访问和修改。
系统调用审计：记录系统调用的详细信息。

应用场景

企业环境：保护敏感数据和关键操作。
政府机构：满足安全和合规要求。
教育机构：防止恶意操作和保护学生数据。

可能遇到的问题及解决方案

问题1：如何设置审计规则来监控敏感命令？

解决方案：

编辑/etc/audit/rules.d/audit.rules文件，添加审计规则。
例如，监控rm -rf /命令：
例如，监控rm -rf /命令：
重启auditd服务使规则生效：
重启auditd服务使规则生效：

问题2：如何查看审计日志？

解决方案：

使用ausearch工具查看特定事件的日志：
使用ausearch工具查看特定事件的日志：
或者直接查看审计日志文件：
或者直接查看审计日志文件：

问题3：审计日志过大如何处理？

解决方案：

配置日志轮转，定期清理旧的审计日志。
编辑/etc/audit/auditd.conf文件，设置max_log_file和max_log_file_action参数。
编辑/etc/audit/auditd.conf文件，设置max_log_file和max_log_file_action参数。
重启auditd服务使配置生效：
重启auditd服务使配置生效：

问题4：如何确保审计服务的稳定性？

解决方案：

确保auditd服务开机自启：
确保auditd服务开机自启：
定期检查auditd服务的状态：
定期检查auditd服务的状态：
配置监控工具（如Prometheus）监控auditd服务的运行状态。

通过以上步骤，可以有效地设置和管理Linux系统中的敏感命令审计，提升系统的安全性和可追溯性。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

linux日志审计系统_linux查看审计记录命令

Linux日志审计常用命令 find、grep 、egrep、awk、sed Linux 中常见日志以及位置位置名称 /var/log/cron 记录了系统定时任务相关的日志 /var/log/auth.log...记录验证和授权方面的信息 /var/log/secure 同上，只是系统不同 /var/log/btmp 登录失败记录使用lastb命令查看 /var/log/wtmp 登录失成功记录使用last...命令查看 /var/log/lastlog 最后一次登录使用lastlog命令查看 /var/run/utmp 使用 w、who、users 命令查看 /var/log/auth.log、/var/...log/secure记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中常用审计命令 //定位多少

13.1K6 0

Linux系统命令审计原

命令审计 1、创建审计日志文件存放目录： [root@Centos-1 ~]# mkdir -p /tmp/logs/host_log 2、更改目录权限使其可写、防删除： [root@Centos...1 ~]# chmod +t /tmp/logs/host_log 3、编辑/etc/profile，在文件最后增加如下： [root@Centos-1 ~]# vim /etc/profile #命令审计

1.9K4 0

代码审计 | 敏感信息泄露

这里以 TurboMail 5.2.0 里的敏感信息泄露漏洞作为学习。已知 TurboMail 5.2.0 的敏感信息泄露路径为 /mailmain?...往期推荐代码审计 | JWT Token 代码审计 | 模板注入代码审计 | 表达式注入原文链接： https://www.teamssix.com/211215-131111.html

1.3K1 0

用 Shell 搞定 Linux 命令审计

前段时间学习群中有朋友在询问线上 Linux 主机的命令行操作审计方案时，当时给了一个用 rsyslog + elasticsearch 的方案简单搪塞过去了，并没有对方案的细节进行说明。...首先，当谈到 Linux 的操作审计需求时，大多数我们希望的是还原线上服务器被人为（误）操作时执行的命令行，以及它关联的上下文。...Linux 部分准备一些必要的工具 rsyslog: 一个Linux上自带并兼容 syslog 语法的日志处理服务 jq: 一个在 shell 下处理 json 数据的小工具 logger: 一个可以往...，也可以依此对 Linux命令行审计做可视化的二次开发。...不过本文基于定制 Bash 的方式仍然具备很多局限性，例如：不能审计 ShellScript 内的执行逻辑；存在用其他 shell 绕过审计，如 zsh 等；可以看到要想审计到更详细的内容，光在

1.2K1 1

Java代码审计 -- 敏感信息泄露

欢迎关注我的微信公众号《壳中之魂》，查看更多网安文章敏感信息一般分为系统敏感信息和应用敏感信息两大类，其中，系统敏感信息一般为业务系统本身的基础环境信息，例如系统信息、中间件版本、代码信息；应用敏感信息又可以分为个人敏感信息和非个人敏感信息...，个人敏感信息包括身份证、姓名、电话号码、邮箱等，非个人敏感信息则可能是企事业单位甚至国家层面的敏感信息。...通过查看TurboMail的安装路径，可以发现TurboMail是Java EE工程，通过审计web.xml，可以发现url-pattern“mailmain”对应servlet-name“mailmaini...servlet-name>mailmaini /mailmain 审计.../etc/passwd 目录穿越漏洞产生的本质是路径可控，一旦涉及文件的读取问题便会涉及java.io.File类，因此在审计这类漏洞时可以优先查找java.io.File引用，并根据经验来判断Paths

3.1K0 0

Linux 审计Bash执行命令存储归档

1.History命令说明 history命令用于显示指定数目的指令命令，读取历史命令文件中的目录到历史命令缓冲区和将历史命令缓冲区中的目录写入命令文件。...BASH 将关闭终端会话时所运行的所有命令,并写入你的历史记录文件。...如何查阅最后的“ n ”命令默认情况下，history 命令显示我们执行的最后1000条命令。如果你只想列出“ n ”个命令，请使用以下命令。例如，显示最近的10个历史记录，请运行以下命令。...$ history 10 按条件搜索历史命令 $ history | grep rm $ history | tail -2 清除历史 1.如果想要删除特定命令，请输入：history -d 2.要清空全部历史记录...HISTFILESIZE=3000 HISTFILESIZE 定义了在 .bash_history 中保存命令的记录总数. HISTSIZE 定义了 history 命令输出的记录数.

7K1 0

Linux 命令 | 每日一学，Audit 安全审计相关工具

0x01 Linux 审计工具介绍实践描述: Linux 审计系统提供了一种方式来跟踪系统上与安全相关的信息。根据预配置的规则，审计会生成日志条目，来尽可能多地记录系统上所发生的事件的相关信息。...0.auditd 命令 - 审计守护进程描述: auditd 是 Linux 审计系统的用户空间组件, 该守护进程它负责将审计记录写入磁盘，我们可以使用 ausearch 或 aureport 实用程序查看审计日志...命令可以生成审计信息的报表，必须以 root 用户执行，如果执行 aureport 命令时没有使用任何选项，那么会显示汇总报表。...ausearch -k audit-temp | aureport -f -i 4.auditspd 命令 - 转发事件通知给其他应用工具描述: audispd 是 Linux 审计框架中的一个守护进程...5.autrace 命令 - 一个用于跟踪进程的命令描述: autrace 是 Linux 中的一个命令行工具，用于跟踪进程的系统调用,它可以帮助你分析程序在运行时的系统调用情况，对于调试和了解程序行为非常有用

1.6K2 1

Linux日志审计

本文为joshua317原创文章,转载请注明：转载自joshua317博客 https://www.joshua317.com/article/291 常用命令 find、grep 、egrep、awk...、sed Linux 中常见日志以及位置 /var/log/cron 记录了系统定时任务相关的日志 /var/log/auth.log 记录验证和授权方面的信息 /var/log/secure 同上，只是系统不同.../var/log/btmp 登录失败记录使用lastb命令查看 /var/log/wtmp 登录失成功记录使用last命令查看 /var/log/lastlog 最后一次登录使用lastlog命令...查看 /var/run/utmp 使用 w、who、users 命令查看 /var/log/auth.log、/var/log/secure记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，...比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中常用审计命令 //定位多少IP在爆破root账号 grep "Failed password for root

2.7K3 0

利用系统命令搜集敏感文件

前言通过渗透拿到一台内网机器的低权限用户后，无法进行进一步利用时，可以使用系统命令来搜集查找一些当前机器可能存在的敏感文件信息。...*,config.*) do @echo %i 根据文件内容搜索利用findstr命令查找当前目录下指定类型（.txt）文件内容中包含指定敏感字符(sa,root,username,password...findstr /c:"sa" /c:"root" /c:"user" /c:"pass" /c:"账号" /c:"密码" /si *.txt 0x02 Linux 环境根据文件名称搜索利用find...命令查找当前目录下文件名称中包含（user,pass,,config）关键字的文件。...（.txt）文件内容中包含指定敏感字符(admin,root,user,pass)的文件。

5104 0

Linux日志审计中的常用命令: sed、sort、uniq

AI摘要：本文介绍了Linux日志审计中三个重要命令：`sed`、`sort`、和`uniq`的用法及其常用参数。...Linux日志审计常用命令: sed、sort、uniq 在Linux系统中，日志审计是一项重要的任务，可以帮助我们了解系统的运行状况，排查问题，并保证系统的安全。...在日志审计过程中，sed、sort和uniq是三个非常实用的命令。本文将详细介绍这三个命令的常用参数及其作用，并结合实例说明其用法。...总结本文详细介绍了Linux日志审计中常用的sed、sort和uniq命令的用法，并结合实例说明了它们的常用参数和作用。熟练掌握这三个命令，可以大大提高我们分析和处理日志的效率。...在实际工作中，我们可以灵活运用这些命令，结合管道和重定向，实现更加复杂的日志审计和分析任务。

2331 0

代码审计之命令执行漏洞

环境:windows + apache + mysql + php (phpstudy) 由于是在Windows下进行的测试,所以和Linux下的测试会有所不同在测试漏洞之前先提一下可以同时执行两条命令的特殊字符...Linux: | ;(Windows下不行) && Windows | &(Linux貌似不行,自行测试) && 肯定有没写出来的,我就不去秀百度了==== 低级: ?...可以将”|”替换成其他字符,效果会不一样.例如:& &&会执行完第一条命令在去执行后面的.这个”|”在linux中是管道符,我这里就不扯这个了=== 看看代码,是如何造成的漏洞： ?...在第10行和14行可以看到通过shell_exec函数执行了命令,接受到的值并没有做任何过滤就执行了,执行的相当于是 ping 127.0.0.1|echo 1你放到命令行下执行一下试试中级: ?...(linux下&貌似不可以),瞅一下代码 ?

8106 0

代码审计:命令注入学习

0x01 起因及想法起因:好久没更新博客了，我在乌云社区看到一篇代码审计的整体学习思想如下：学习代码审计目标：能独立完成对一个CMS代码安全的监测思路： A、通读全文代码，从功能函数代码开始阅读，...0x02 命令注入学习形成原因：对一些危险函数没有做过滤。...0x04 防护 PHP中命令注入攻击漏洞带来的危害和影响很严重。防范命令注入攻击漏洞的存在可以通过以下几种方法。 1.、尽量不要执行外部的应用程序或命令。 2....、使用自定义函数或函数库实现外部应用程序或命令的功能。 3、在执行system、eval等命令执行功能的函数前，确定参数内容。...例如写入一句话可被过滤，所以命令无法执行成功，无法生成一句话文件。 ? 5、使用escapeshellarg函数处理相关参数。

1.5K10 0

代码审计 | 命令注入和代码注入

0x01 命令注入在开发过程中，开发人员可能需要对系统文件进行移动、删除或者执行一些系统命令，这时如果执行的命令用户可控，就会导致命令执行漏洞。...); 这种漏洞原理很简单，主要就是找到执行系统命令的函数，看命令是否可控。...，可以使用连接符来执行多条语句，常见连接符及含义如下： ; 多个命令顺序执行，命令之间无任何逻辑关系 | 前面命令输出结果作为后面命令的输入内容 || 逻辑或，当前面命令执行失败后，后面命令才会执行...，否则后面命令不执行 & 前面命令执行后继续执行后面命令 && 逻辑与，当前面命令执行成功后，后面命令才会执行，否则后面命令不执行对于 Java 环境中的命令注入，连接符的使用存在一些限制，...---- 往期推荐代码审计 | SQL 注入代码审计 | Java Web 过滤器 - filter 代码审计 | Java Web 核心技术 - Servlet 参考链接： https://

1.4K2 0

Linux 系统添加操作记录审计

有时候我们需要对线上用户操作记录进行历史记录待出现问题追究责任人，但Linux系统自带的history命令用户有自行删除权限，那怎么设置可以让用户的操作记录实时记录，并保证普通用户无权删除呢？

2.6K5 0

linux审计日志在哪里,linux – 将审计日志发送到SYSLOG服务器

rsyslog配置中加载.这是负责的一行： $ModLoad imfile 因此,请检查它是否在您的rsyslog.conf文件中.如果不存在,请在### MODULES ###部分下添加它以启用此模块;否则,审计日志记录的上述配置将不起作用...HostAudit,”/var/log/rsyslog/%HOSTNAME%/audit_log” local6.* 在两台主机上重新启动服务(service rsyslog restart),您应该开始接收审计消息

4.1K2 0

Linux系统实战项目——sudo日志审计

Linux系统实战项目——sudo日志审计由于企业内部权限管理启用了sudo权限管理，但是还是有一定的风险因素，毕竟运维、开发等各个人员技术水平、操作习惯都不相同，也会因一时失误造成误操作，从而影响系统运行...因此，征对sudo提权的操作，便于管理与后续维护，开启sudo日志审计功能对用户执行 sudo命令的操作行为，但又不记录其它命令的操作行为一：生产环境中日志审计方案如下： 1、syslog全部操作日志审计...，此种方法信息量大，不便查看 2、sudo日志配合syslog服务进行日志审计 3、堡垒机日志审计 4、bash安装监视器，记录用户使用操作二：配置sudo日志审计 1、安装sudo与syslog服务...x86_64 [root@Centos ~]# rpm -qa|grep rsyslog rsyslog-5.8.10-10.el6_6.x86_64 检查是否安装两种服务，如果没有安装，就使用下面的命令进行安装...PWD=/home/cjkaifa001 ; USER=root ; COMMAND=/bin/cat /var/log/sudo.log 经过测试能正常记录用户使用sudo的操作日志记录，其它命令没有记录

1.8K2 0

利用rsyslog 对Linux用户进行审计

rsyslog 是标准Linux系统的一部分，能够实时的写日志，并且还可以将日志选择性的发送到远程日志服务器。...要审计用户执行的命令，依赖.bash_history 或 script 是不可靠的，两者虽然记录了用户行为，但是可能被用户篡改。...利用rsyslog 可以将日志实时写入远程日志服务器，从而杜绝用户篡改，提高审计材料的真实度。以Ubuntu为例，下面的办法可以让rsyslog记录用户所执行的命令以及时间戳，供审计使用。 ...logger 命令也可以直接将日志写入远程服务器，见man logger 。

1.2K2 0

linux smartctl 命令,Linux smartctl命令

在Linux上使用smartctl命令查看硬盘的SMART信息。

26.4K3 0

linux objdump命令,Linux objdump命令

… linux常用命令–开发调试篇前言 Linux常用命令中有一些命令可以在开发或调试过程中起到很好的帮助作用,有些可以帮助了解或优化我们的程序,有些可以帮我们定位疑难问题.本文将简单介绍一下这些命令...u012247418/article/details/80 … Linux 常用命令：开发调试篇前言 Linux常用命令中有一些命令可以在开发或调试过程中起到很好的帮助作用,有些可以帮助了解或优化我们的程序...示例程序我们用一个小程序,来 … linux grep命令 linux grep命令1.作用Linux系统中grep命令是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来.grep...全称是Global Regular Expressio … Linux常用命令(一) Linux常用命令 1. pwd查看当前路径(Print Working Directory) [root@CentOS...;创建用户成功linux系统会自动创建一个和用户名相同的分组,并将该用户分到改组中 … Linux paste命令 Linux paste命令用于合并文件的列. paste指令会把每个文件以列对列的方式

28.3K3 1

【Linux 命令大全】Linux od命令

Linux od 命令：用于输出文件内容。 od指令会读取所给予的文件的内容，并将其内容以八进制字码呈现出来。...实例创建 tmp 文件： $ echo abcdef g > tmp $ cat tmp abcdef g 使用 od 命令： $ od -b tmp 0000000 141 142 143 144

22.8K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

linux 审计敏感命令

基础概念

优势

类型

应用场景

可能遇到的问题及解决方案

问题1：如何设置审计规则来监控敏感命令？

问题2：如何查看审计日志？

问题3：审计日志过大如何处理？

问题4：如何确保审计服务的稳定性？

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐