audit daemon

daemon kiểm toán (auditd) là một mã nguồn mở, miễn phí và không tương tác daemon, một chương trình dòng lệnh cung cấp các công cụ sử dụng không gian cần thiết cho việc tạo ra các quy tắc kiểm toán trên hệ điều hành hạt nhân dựa trên Linux.

Phần mềm này cũng có thể được sử dụng để tìm kiếm và lưu trữ các hồ sơ kiểm toán đã được tạo ra bởi các hệ thống phụ kiểm toán trong Linux kernel 2.6 hoặc mới hơn. Nó hoạt động như một khuôn khổ kiểm toán độc lập hạn chế về phân phối GNU / Linux của bạn.

Còn được gọi là Kiểm toán khung Linux, các dự án daemon kiểm toán ban đầu được tạo ra để cung cấp cho kiểm toán hệ thống gọi mà không cần bước vào các chức năng hiện có cung cấp bởi các dự án như SELinux.

Chương trình có thể mở và đóng các tập tin log kiểm toán được tìm thấy trong các thư mục được chỉ định trong file audit_control. Nó sẽ mất tất cả các tập tin theo thứ tự chúng được quy định trong tập tin đó và chỉ đọc dữ liệu kiểm toán từ các hạt nhân. Sau đó, nó viết rằng dữ liệu vào một tập tin log kiểm toán.

Ngoài ra, nó thực hiện một kịch bản gọi là audit_warn khi các thư mục kiểm toán tương ứng điền vào qua các giới hạn quy định bằng văn bản trong tập tin audit_control. daemon kiểm toán sau đó sẽ gửi cảnh báo đến các giao diện điều khiển và các bí danh email audit_warn.

Để cài đặt daemon kiểm toán trên hệ điều hành GNU / Linux của bạn bằng cách sử dụng các gói mã nguồn, bạn sẽ phải đầu tiên tải về từ trang web chính thức của nó (xem các liên kết trang web ở cuối bài viết), lưu trữ trên Trang chủ của bạn thư mục, và giải nén nó bằng cách sử dụng một công cụ quản lý lưu trữ.

Trong một mô phỏng thiết bị, tìm đến vị trí của các tập tin lưu trữ trích xuất bằng & lsquo; cd & rsquo; lệnh (ví dụ: cd /home/softoware/audit-2.4.1), chạy & lsquo; ./ configure && make & rsquo; lệnh để cấu hình và biên dịch chương trình, sau đó chạy & lsquo; sudo make install & rsquo; lệnh để cài đặt nó rộng hệ thống

là gì mới trong phiên bản này:.

• Thêm hỗ trợ python3 cho libaudit
• cảnh báo Cleanup automake
• Thêm AuParser_search_add_timestamp_item_ex để bindings python
• Thêm AuParser_get_type_name để bindings python
• chế biến đúng cách obj_gid trong auditctl (Aleksander Zdyb)
• Tạo file cấu hình các plugin phân tích cú pháp mạnh mẽ hơn cho đường dài (# 1.235.457)
• Hãy in status auditctl lĩnh vực bị mất số như unsigned
• Thêm vào chế độ giải thích cho auditctl -s
• Thêm hỗ trợ python3 để auparse thư viện
• Hãy --enable-ZOS-xa một tùy chọn cấu hình thời gian xây dựng (Clayton Shotwell)
• Cập nhật cho biên dịch chéo (Clayton Shotwell)
• Thêm MAC_CHECK loại sự kiện kiểm toán
• Add file pkgconfig libauparse (Aleksander Zdyb)

là gì mới trong phiên bản 2.4.1:

• Thực hiện hỗ trợ python3 dễ dàng hơn
• Thêm hỗ trợ cho ppc64le (Tony Jones)
• Thêm bản dịch một số a1 của hệ thống ioctl gọi
• Thêm lệnh & ảo hóa các báo cáo để aureport
• Báo cáo cập nhật aureport cấu hình cho các sự kiện mới
• Thêm báo cáo tóm tắt sửa đổi tài khoản để aureport
• Thêm GRP_MGMT và GRP_CHAUTHTOK loại sự kiện

báo cáo
• aureport đúng sự thay đổi tài khoản
• Thêm báo cáo sự kiện toàn vẹn để aureport
• Thêm cấu hình báo cáo tóm tắt để thay đổi aureport
• Điều chỉnh một số thiết lập mức syslogging trong audispd
• Cải thiện hiệu suất phân tích cú pháp trong tất cả mọi thứ
• Khi ausearch xuất ra một dòng, sử dụng các giá trị phân tích trước đó (Burn Alting)
• Cải thiện tìm kiếm và giải thích các nhóm trong các sự kiện
• giải thích đầy đủ các lĩnh vực proctitle trong auparse
• libaudit Correct và hỗ trợ cho các tính năng auditctl kernel
• Thêm hỗ trợ cho thiết lập backlog_time_wait qua auditctl
• bảng Update syscall cho kernel 3.18
• Bỏ qua thất bại DNS để xác nhận email trong auditd (# 1.138.674)
• Cho phép xoay như hành động cho space_left và disk_full trong auditd.conf
• Correct báo cáo tóm tắt đăng nhập của aureport

syscalls
• Auditctl có thể là dấu phẩy tách ra danh sách doanh nghiệp
• quy tắc Cập nhật cho hệ thống con và các khả năng mới

là gì mới trong phiên bản 2.3.2:

• Đặt RefuseManualStop trong phần systemd phải (# 969.345 )
• Thêm các kịch bản di khởi động lại cho hỗ trợ systemd
• Thêm nhiều cách giải thích lập luận syscall
• Thêm từ khóa 'unset' cho uid & gid giá trị trong auditctl
• Trong ausearch, phân tích obj trong hồ sơ IPC
• Trong ausearch, phân tích subj trong hồ sơ DAEMON_ROTATE
• giải thích Fix của MQ_OPEN và MQ_NOTIFY kiện
• Trong auditd, khởi động lại dispatcher trên SIGHUP nếu trước đó đã thoát
• Trong audispd, xuất cảnh khi không có plugins hoạt động được phát hiện trên reconfigure
• Trong audispd, rõ ràng tín hiệu mặt nạ được thiết lập bởi libev để SIGHUP hoạt động trở lại
• Trong audispd, theo dõi plugins nhị phân và khởi động lại nếu nhị phân đã được cập nhật
• Trong audispd, chắc chắn chúng tôi gửi tín hiệu đến các quá trình chính xác
• Trong auditd, mặt nạ tín hiệu rõ ràng khi đẻ bất kỳ quá trình trẻ em
• Trong audispd, làm plugins dựng sẵn để đáp ứng SIGHUP
• Trong auparse, giải thích chế độ cờ mở syscall nếu O_CREAT được thông qua
• Trong audisp-xa, không thực hiện tra cứu địa chỉ luôn luôn là một thất bại vĩnh viễn
• Trong audisp-xa, loại bỏ sự kiện EOE hiệu quả hơn
• Trong auditd, đăng nhập các lý do khi tài khoản email là không hợp lệ
• Trong audisp-xa, hành động remote_ending thay đổi mặc định để kết nối lại
• Thêm hỗ trợ cho bộ vi xử lý Aarch64

là gì mới trong phiên bản 2.2.1:

• Thêm nhiều cách diễn giải trong auparse cho các thông số syscall
• Thêm một vài giải thích để các ausearch cho các thông số syscall
• Trong ausearch / báo cáo và auparse, phân bổ thêm không gian cho các tên nút
• bảng Update syscall cho kernel 3.3.0
• Update libev để 4.0.4
• Giảm kích thước của một số ứng dụng
• Trong auditctl, kiểm tra việc sử dụng chống lại euid hơn là uid

là gì mới trong phiên bản 2.1.1:

• Khi ausearch được interpretting, đầu ra & quot; như là & quot ; nếu không có = được tìm thấy
• thiết lập ổ cắm đúng vào việc khai thác từ xa
• Điều chỉnh các thiết lập mặc định cho một cặp vợ chồng đăng nhập từ xa và init script
• Audispd đã không đánh dấu các plugin như khởi động lại hoạt động
• Audisp-xa nên giữ một khả năng nếu local_port & lt; 1024
• Khi khởi động lại audispd plugin, gửi sự kiện trong định dạng ưa thích của mình
• Trong audisp-xa, làm cho tất cả các I / O không đồng bộ
• Trong audisp-xa, thêm xử lý SIGUSR1 để đổ bộ nhà nước
• Fix autrace sử dụng syscalls đúng trên hệ thống s390 và s390x
• Thêm shutdown syscall để teardowns đăng nhập từ xa
• quy tắc autrace đúng cho 32 bit hệ thống

là gì mới trong phiên bản 2.1:

• Update trang người đàn ông auditctl cho lĩnh vực mới trên bộ lọc dùng
• Fix crash trong aulast khi auid là nước ngoài vào hệ thống
• Mã dọn
• Thêm cửa hàng và mô hình về phía trước để audispd-xa (Mirek Trmac)
• bộ nhớ miễn phí trên phần khởi động thất bại trong audisp-khúc dạo đầu
• bộ nhớ Fix rò rỉ trong aureport
• Fix phân tích vấn đề nhà nước trong libauparse
• Cải thiện sự vững mạnh của các chức năng mã hóa lĩnh vực libaudit
• bảng khả năng Cập nhật
• Trong auditd, làm cho cấu hình hành động thất bại kiểm tra phù hợp
• Trong auditd, kiểm tra NULL mà không được thông qua để safe_exec
• Trong audisp-xa, overflow_action không được đình chỉ nếu hành động đó đã được lựa chọn
• Update cách giải thích cho các sự kiện virt
• Cải thiện cảnh báo đăng nhập từ xa và thông báo lỗi
• Thêm giải thích cho các sự kiện netfilter

là gì mới trong phiên bản 2.0.6:

cải
• ausearch / báo cáo hiệu suất
• Đồng bộ hóa tất cả các quy tắc mẫu syscall sử dụng hành động, danh sách
• Nếu tên chương trình cung cấp cho audit_log_acct_message, thoát khỏi nó
• trang người đàn ông Fix cho các chức năng audit_encode_nv_string (# 647.131)
• Nếu giá trị là NULL, không segfault (# 647.128)
• Fix sự kiện đơn giản phân tích cú pháp để không giả định phiên id không thể cuối cùng (Peng Haitao)
• Thêm hỗ trợ cho mới loại sự kiện kiểm toán mmap
• Thêm khả năng cho audispd syslog plugin để lựa chọn cơ sở local0-7 (# 593.340)
• Fix autrace sử dụng syscalls đúng trên hệ thống i386 (Peng Haitao)
• On startup và reconfig, kiểm tra các bản ghi dư thừa và hủy liên kết chúng
• Thêm một vài thiếu thông phân tích cú pháp debug
• đầu ra lỗi Fix giải quyết trang địa chỉ và cập nhật số người đàn ông
• Thêm các loại sự kiện netfilter
• Sửa lỗi chính tả trong trang audit.rules man (# 667.845)
• Cải thiện cảnh báo trong auditctl liên quan đến chế độ không thay đổi (# 654.883)
• bảng Update syscall cho kernel 2.6.37
• Trong ausearch, cho phép tìm kiếm auid -1
• Thêm hàng đợi overflow_action để audisp-xa để kiểm soát tràn queue
• Cập nhật các quy tắc mẫu cho syscalls và các gói mới

là gì mới trong phiên bản 2.0.5:

• Một vài bản sửa lỗi đã được thực hiện đối với 32-bit hệ thống khi sử dụng một trường inode trong quy định.
• cập nhật bảng syscall đã được thực hiện cho hạt nhân gần đây.
• Các sự kiện mới được bổ sung cho dịch vụ khởi động / dừng và ảo hóa.
• Việc xử lý bỏ qua chỉ thị trong auditctl đã được cố định.

là gì mới trong phiên bản 2.0.3:

• Nhiều fixups đăng nhập từ xa được thực hiện, trong đó có một tiềm năng Vấn đề bảo mật nếu GSSAPI đã được kích hoạt.

là gì mới trong phiên bản 2.0.1:

• getloginuid đã được cố định cho Python bindings
• Các plugin audispd af_unix được tắt theo mặc định.
• Một lỗi trong khai thác gỗ từ xa đã được cố định.
• Các init script đã được cập nhật.
• Các trang người đàn ông đã được cập nhật.