ภูตตรวจสอบ (auditd) เป็นโอเพนซอร์สภูตฟรีและไม่โต้ตอบซึ่งเป็นโปรแกรมบรรทัดคำสั่งที่มีเครื่องมือที่ใช้พื้นที่ที่จำเป็นสำหรับการสร้างกฎการตรวจสอบบนระบบปฏิบัติการเคอร์เนลที่ใช้ลินุกซ์.
ทำงานเป็นกรอบที่ จำกัด การตรวจสอบแบบสแตนด์อโลน
ซอฟต์แวร์นี้ยังสามารถนำมาใช้สำหรับการค้นหาและจัดเก็บบันทึกการตรวจสอบที่ถูกสร้างขึ้นโดยการตรวจสอบระบบย่อยเคอร์เนล 2.6 หรือในภายหลัง การทำงานเป็นกรอบที่ จำกัด การตรวจสอบเกี่ยวกับการกระจายแบบสแตนด์อโลน GNU / Linux ของคุณ.
กรอบการตรวจสอบลินุกซ์
หรือที่เรียกว่าลินุกซ์ตรวจสอบกรอบภูตตรวจสอบโครงการนี้ก็ถูกสร้างขึ้นครั้งแรกเพื่อให้การตรวจสอบระบบการเรียกร้องโดยไม่ต้องก้าวในการทำงานที่มีอยู่ที่ได้รับจากโครงการเช่น SELinux.
วิธีการทำงานของโปรแกรม
โปรแกรมสามารถเปิดและปิดแฟ้มบันทึกการตรวจสอบที่พบในโฟลเดอร์ที่ระบุไว้ในแฟ้ม audit_control มันจะใช้เวลาไฟล์ทั้งหมดที่อยู่ในลำดับที่พวกเขามีการระบุไว้ในแฟ้มที่และอ่านข้อมูลการตรวจสอบจากเมล็ด จากนั้นก็เขียนว่าข้อมูลไปยังแฟ้มบันทึกการตรวจสอบ.
นอกจากนี้จะรันสคริปต์ที่เรียกว่า audit_warn เมื่อตรวจสอบโฟลเดอร์นั้นกรอกที่ผ่านมาข้อ จำกัด ที่ระบุไว้เป็นลายลักษณ์อักษรในแฟ้ม audit_control ภูตตรวจสอบแล้วจะส่งคำเตือนไปยังคอนโซลและนามแฝงอีเมล audit_warn.
การติดตั้งภูตตรวจสอบ
การติดตั้งภูตตรวจสอบในระบบปฏิบัติการของคุณ GNU / Linux ใช้แพคเกจแหล่งที่มาของคุณจะต้องดาวน์โหลดครั้งแรกที่ได้จากเว็บไซต์อย่างเป็นทางการ (จะเห็นลิงค์ที่หน้าแรกในตอนท้ายของบทความ), การบันทึกข้อมูลที่เก็บอยู่บนหน้าแรกของคุณ ไดเรกทอรีและแกะโดยใช้เครื่องมือที่ผู้จัดการเก็บ.
ในการจำลอง terminal นำทางไปยังตำแหน่งของไฟล์เก็บสกัดโดยใช้ & lsquo; cd & rsquo; คำสั่ง (เช่น cd /home/softoware/audit-2.4.1) เรียกใช้และ lsquo; ./ กำหนดค่าให้ && & rsquo; คำสั่งในการกำหนดค่าและรวบรวมโปรแกรมที่เรียกใช้และ lsquo; sudo ให้ติดตั้ง & rsquo; คำสั่งที่จะติดตั้งทั้งระบบ
มีอะไรใหม่ ในข่าวประชาสัมพันธ์ฉบับนี้.
- เพิ่มการสนับสนุน python3 สำหรับ libaudit
- คำเตือน Cleanup automake
- เพิ่ม AuParser_search_add_timestamp_item_ex จะผูกหลาม
- เพิ่ม AuParser_get_type_name จะผูกหลาม
- การประมวลผลที่ถูกต้องของ obj_gid ใน auditctl (Aleksander Zdyb)
- การตั้งค่าให้ไฟล์ปลั๊กอินแยกที่แข็งแกร่งมากขึ้นสำหรับสายยาว (# 1235457)
- ให้พิมพ์สถานะ auditctl สนามที่หายไปเป็นจำนวนที่ไม่ได้ลงชื่อ
- เพิ่มโหมดการตีความ auditctl -s
- เพิ่มการสนับสนุนการ python3 auparse ห้องสมุด
- ให้ --enable-ZOS ระยะไกลการสร้างตัวเลือกการตั้งค่าเวลา (เคลย์ตัน Shotwell)
- การปรับปรุงสำหรับข้ามรวบรวม (เคลย์ตัน Shotwell)
- เพิ่มการตรวจสอบประเภทของเหตุการณ์ MAC_CHECK
- เพิ่ม libauparse ไฟล์ pkgconfig (Aleksander Zdyb)
มีอะไรใหม่ ในรุ่น 2.4.1:
- ให้การสนับสนุน python3 ง่ายขึ้น
- เพิ่มการสนับสนุนสำหรับ ppc64le (โทนี่โจนส์)
- เพิ่มการแปลบางอย่างสำหรับ a1 ระบบ IOCTL เรียก
- เพิ่มคำสั่งและรายงานการทำงานแบบเสมือนจะ aureport
- รายงานการปรับปรุงการตั้งค่า aureport สำหรับกิจกรรมใหม่
- เพิ่มรายงานสรุปการปรับเปลี่ยนบัญชี aureport
- เพิ่ม GRP_MGMT และ GRP_CHAUTHTOK ชนิดเหตุการณ์
- aureport บัญชีที่ถูกต้องรายงานการเปลี่ยนแปลง
- เพิ่มความสมบูรณ์ของรายงานเหตุการณ์ที่จะ aureport
- เพิ่มรายงานสรุปการเปลี่ยนแปลงการตั้งค่าที่จะ aureport
- ปรับการตั้งค่าระดับ syslogging ใน audispd
- การปรับปรุงประสิทธิภาพการแยกในทุกสิ่งที่
- เมื่อ ausearch ผลสายให้ใช้ค่าแจงก่อนหน้านี้ (เผา Alting)
- ปรับปรุงการค้นหาและการแปลความหมายของกลุ่มต่าง ๆ ในเหตุการณ์ที่เกิดขึ้น
- ครบตีความสนาม proctitle ใน auparse
- libaudit ที่ถูกต้องและการสนับสนุน auditctl สำหรับคุณสมบัติเคอร์เนล
- เพิ่มการสนับสนุนสำหรับการตั้งค่าผ่านทาง backlog_time_wait auditctl
- การปรับปรุงตาราง syscall สำหรับเคอร์เนล 3.18
- รายละเอียด DNS ล้มเหลวสำหรับการตรวจสอบอีเมลใน auditd (# 1138674)
- อนุญาตให้หมุนเป็นการดำเนินการสำหรับ space_left และ disk_full ใน auditd.conf
- สรุปเข้าสู่ระบบที่ถูกต้องของรายงาน aureport
- Auditctl syscalls สามารถคั่นด้วยเครื่องหมายจุลภาครายการตอนนี้
- กฎการปรับปรุงสำหรับระบบย่อยและความสามารถใหม่
มีอะไรใหม่ ในรุ่น 2.3.2:
- ใส่ RefuseManualStop ในส่วน systemd ที่เหมาะสม (# 969345 )
- เพิ่มสคริปต์รีสตาร์ทมรดกให้การสนับสนุน systemd
- เพิ่มมากขึ้นการตีความข้อโต้แย้ง syscall
- เพิ่มคำว่า 'ล้างสำหรับ uid และค่า GID ใน auditctl
- ใน ausearch แยก obj ในบันทึก IPC
- ใน ausearch แยกเรื่องแจ้งในบันทึก DAEMON_ROTATE
- การตีความการแก้ไขปัญหาของ MQ_OPEN และเหตุการณ์ MQ_NOTIFY
- ใน auditd, ส่งเริ่มต้นใหม่ใน SIGHUP ถ้ามันออกมาก่อนหน้านี้
- ใน audispd ออกเมื่อปลั๊กอินที่ใช้งานไม่ถูกตรวจพบในกำหนดค่า
- ใน audispd หน้ากากสัญญาณที่ชัดเจนที่กำหนดโดย libev เพื่อให้ใช้งานได้อีกครั้ง SIGHUP
- ใน audispd ติดตามปลั๊กอินไบนารีและเริ่มต้นถ้าไบนารีได้รับการปรับปรุง
- ใน audispd ให้แน่ใจว่าเราจะส่งสัญญาณไปยังกระบวนการที่ถูกต้อง
- ใน auditd หน้ากากสัญญาณที่ชัดเจนเมื่อวางไข่กระบวนการเด็ก ๆ
- ใน audispd ให้ปลั๊กอิน builtin ตอบสนองต่อการ SIGHUP
- ใน auparse ตีความธงรูปแบบของการเปิด syscall ถ้า O_CREAT ถูกส่งผ่านไป
- ใน audisp ระยะไกลไม่ให้การค้นหาที่อยู่เสมอเป็นความล้มเหลวอย่างถาวร
- ใน audisp ระยะไกลเอาเหตุการณ์ที่เกิดขึ้นได้อย่างมีประสิทธิภาพ EOE
- ใน auditd เข้าสู่ระบบเหตุผลที่เมื่อบัญชีอีเมลไม่ถูกต้อง
- ใน audisp ระยะไกล, การเปลี่ยนแปลงการดำเนินการเริ่มต้นที่จะเชื่อมต่อ remote_ending
- เพิ่มการสนับสนุนสำหรับการประมวลผล Aarch64
มีอะไรใหม่ ในรุ่น 2.2.1:
- เพิ่มมากขึ้นในการตีความ auparse สำหรับพารามิเตอร์ syscall
- เพิ่มการตีความบางอย่างเพื่อ ausearch สำหรับพารามิเตอร์ syscall
- ใน ausearch รายงาน / auparse และจัดสรรพื้นที่พิเศษสำหรับชื่อโหนด
- การปรับปรุงตาราง syscall สำหรับเคอร์เนล 3.3.0
- การปรับปรุง libev 4.0.4
- ลดขนาดของการใช้งานบางอย่าง
- ใน auditctl การใช้งานการตรวจสอบกับ EUID มากกว่า uid
มีอะไรใหม่ ในรุ่น 2.1.1:
- เมื่อ ausearch เป็น interpretting เอาท์พุท & quot; ที่เป็นอยู่ & quot ; หากไม่พบ =
- การตั้งค่าซ็อกเก็ตที่ถูกต้องในการเข้าสู่ระบบจากระยะไกล
- ปรับตั้งค่าเริ่มต้นคู่สำหรับการบันทึกระยะไกลและสคริปต์ init
- Audispd ไม่ได้ทำเครื่องหมายปลั๊กอินเริ่มต้นใหม่ใช้งาน
- Audisp ระยะไกลควรให้ความสามารถถ้า local_port & lt; 1024
- เมื่อรีสตาร์ท audispd ปลั๊กอินส่งเหตุการณ์ในรูปแบบที่ต้องการของ
- ใน audisp ระยะไกลให้ I / O ทั้งหมดไม่ตรงกัน
- ใน audisp ระยะไกล, เพิ่มตัวจัดการ SIGUSR1 การถ่ายโอนข้อมูลสถานะภายใน
- autrace แก้ไขใช้ syscalls ที่ถูกต้องในระบบ s390 และ s390x
- เพิ่ม syscall ปิดการ teardowns การเข้าสู่ระบบจากระยะไกล
- กฎ autrace ที่ถูกต้องสำหรับระบบ 32 บิต
มีอะไรใหม่ ในรุ่น 2.1:
- การปรับปรุงหน้าคน auditctl สำหรับเขตข้อมูลใหม่ในการกรองผู้ใช้
- แก้ไขความผิดพลาดใน aulast เมื่อ auid เป็นชาวต่างชาติที่ระบบ
- สะสางโค้ด
- เพิ่มการจัดเก็บและรูปแบบไปข้างหน้าเพื่อ audispd ระยะไกล (Mirek Trmac)
- หน่วยความจำฟรีที่เพิ่งเริ่มต้นล้มเหลวในการ audisp-โหมโรง
- หน่วยความจำรั่วแก้ไขใน aureport
- แก้ไขปัญหาของรัฐในการแยก libauparse
- การปรับปรุงความทนทานของฟังก์ชั่นการเข้ารหัสสนาม libaudit ก
- ตารางความสามารถในการปรับปรุง
- ใน auditd ให้การตั้งค่าความล้มเหลวในการตรวจสอบการดำเนินการที่สอดคล้องกัน
- ใน auditd ตรวจสอบเป็นโมฆะที่ไม่ได้ถูกส่งผ่านไปยัง safe_exec
- ใน audisp ระยะไกล, overflow_action ไม่ได้ถ้าระงับการกระทำที่ได้รับเลือก
- การปรับปรุงสำหรับการตีความเหตุการณ์ virt
- ปรับปรุงการเตือนการเข้าสู่ระบบจากระยะไกลและข้อความผิดพลาด
- เพิ่มการตีความเหตุการณ์ netfilter
มีอะไรใหม่ ในรุ่น 2.0.6:
- ausearch / ปรับปรุงประสิทธิภาพการทำงานรายงาน
- ประสานกฎตัวอย่าง syscall ทั้งหมดที่จะใช้ดำเนินการรายการ
- หากชื่อโปรแกรมให้กับ audit_log_acct_message หนีมัน
- หน้าคนแก้ไขสำหรับฟังก์ชัน audit_encode_nv_string (# 647131)
- ถ้าค่าเป็นโมฆะไม่ segfault (# 647128)
- แก้ไขแยกเหตุการณ์ง่ายที่จะไม่คิด id ของเซสชั่นไม่สามารถเป็นครั้งสุดท้าย (Peng Haitao)
- เพิ่มการสนับสนุนสำหรับการตรวจสอบแบบใหม่ mmap เหตุการณ์
- เพิ่มความสามารถสำหรับปลั๊กอิน audispd syslog ให้เลือก local0-7 สิ่งอำนวยความสะดวก (# 593340)
- autrace แก้ไขใช้ syscalls ที่ถูกต้องในระบบ i386 (Peng Haitao)
- ในการเริ่มต้นและ Reconfig ตรวจสอบการบันทึกส่วนเกินและยกเลิกการเชื่อมโยงพวกเขา
- เพิ่มคู่หายไปแยกวิเคราะห์ข้อความแก้ปัญหา
- เอาท์พุทแก้ไขข้อผิดพลาดการแก้ไขที่อยู่ที่เป็นตัวเลขและปรับปรุงหน้าคน
- เพิ่มชนิดของเหตุการณ์ netfilter
- แก้ไขข้อผิดพลาดในการสะกดคำในหน้าคน audit.rules (# 667845)
- ปรับปรุงการเตือนใน auditctl เกี่ยวกับโหมดการเปลี่ยนรูป (# 654883)
- การปรับปรุงตาราง syscall สำหรับเคอร์เนล 2.6.37
- ใน ausearch ให้ค้นหา auid -1
- เพิ่มคิว overflow_action เพื่อ audisp ระยะไกลในการควบคุมคิวล้น
- กฎตัวอย่างการปรับปรุงสำหรับ syscalls ใหม่และแพคเกจ
มีอะไรใหม่ ในรุ่น 2.0.5:
- คู่ของการแก้ไขถูกสร้างขึ้นมาสำหรับ 32 บิต ระบบเมื่อใช้สนามไอโหนดในกฎระเบียบ.
- syscall ปรับปรุงตารางถูกสร้างขึ้นมาสำหรับเมล็ดที่ผ่านมา.
- เหตุการณ์ใหม่มีการเพิ่มการให้บริการเริ่มต้น / หยุดและ virtualization.
- การจัดการคำสั่งจะไม่สนใจใน auditctl ได้รับการแก้ไข.
มีอะไรใหม่ ในรุ่น 2.0.3:
- การเข้าสู่ระบบจากระยะไกลหลาย fixups ได้ทำรวมทั้งการที่มีศักยภาพ ปัญหาด้านความปลอดภัยถ้า GSSAPI ถูกเปิดใช้งาน.
มีอะไรใหม่ ในรุ่น 2.0.1:.
- getloginuid ได้คงที่สำหรับผูกหลาม
- ปลั๊กอิน audispd AF_UNIX ถูกยกเลิกโดยปริยาย.
- ข้อผิดพลาดในการเข้าสู่ระบบจากระยะไกลได้รับการแก้ไข.
- สคริปต์ init มีการปรับปรุง.
- หน้าคนที่ได้รับการปรับปรุง.
ความคิดเห็นที่ไม่พบ