audit daemon

ภูตตรวจสอบ (auditd) เป็นโอเพนซอร์สภูตฟรีและไม่โต้ตอบซึ่งเป็นโปรแกรมบรรทัดคำสั่งที่มีเครื่องมือที่ใช้พื้นที่ที่จำเป็นสำหรับการสร้างกฎการตรวจสอบบนระบบปฏิบัติการเคอร์เนลที่ใช้ลินุกซ์.

ซอฟต์แวร์นี้ยังสามารถนำมาใช้สำหรับการค้นหาและจัดเก็บบันทึกการตรวจสอบที่ถูกสร้างขึ้นโดยการตรวจสอบระบบย่อยเคอร์เนล 2.6 หรือในภายหลัง การทำงานเป็นกรอบที่ จำกัด การตรวจสอบเกี่ยวกับการกระจายแบบสแตนด์อโลน GNU / Linux ของคุณ.

หรือที่เรียกว่าลินุกซ์ตรวจสอบกรอบภูตตรวจสอบโครงการนี​​้ก็ถูกสร้างขึ้นครั้งแรกเพื่อให้การตรวจสอบระบบการเรียกร้องโดยไม่ต้องก้าวในการทำงานที่มีอยู่ที่ได้รับจากโครงการเช่น SELinux.

โปรแกรมสามารถเปิดและปิดแฟ้มบันทึกการตรวจสอบที่พบในโฟลเดอร์ที่ระบุไว้ในแฟ้ม audit_control มันจะใช้เวลาไฟล์ทั้งหมดที่อยู่ในลำดับที่พวกเขามีการระบุไว้ในแฟ้มที่และอ่านข้อมูลการตรวจสอบจากเมล็ด จากนั้นก็เขียนว่าข้อมูลไปยังแฟ้มบันทึกการตรวจสอบ.

นอกจากนี้จะรันสคริปต์ที่เรียกว่า audit_warn เมื่อตรวจสอบโฟลเดอร์นั้นกรอกที่ผ่านมาข้อ จำกัด ที่ระบุไว้เป็นลายลักษณ์อักษรในแฟ้ม audit_control ภูตตรวจสอบแล้วจะส่งคำเตือนไปยังคอนโซลและนามแฝงอีเมล audit_warn.

การติดตั้งภูตตรวจสอบในระบบปฏิบัติการของคุณ GNU / Linux ใช้แพคเกจแหล่งที่มาของคุณจะต้องดาวน์โหลดครั้งแรกที่ได้จากเว็บไซต์อย่างเป็นทางการ (จะเห็นลิงค์ที่หน้าแรกในตอนท้ายของบทความ), การบันทึกข้อมูลที่เก็บอยู่บนหน้าแรกของคุณ ไดเรกทอรีและแกะโดยใช้เครื่องมือที่ผู้จัดการเก็บ.

ในการจำลอง terminal นำทางไปยังตำแหน่งของไฟล์เก็บสกัดโดยใช้ & lsquo; cd & rsquo; คำสั่ง (เช่น cd /home/softoware/audit-2.4.1) เรียกใช้และ lsquo; ./ กำหนดค่าให้ && & rsquo; คำสั่งในการกำหนดค่าและรวบรวมโปรแกรมที่เรียกใช้และ lsquo; sudo ให้ติดตั้ง & rsquo; คำสั่งที่จะติดตั้งทั้งระบบ

มีอะไรใหม่ ในข่าวประชาสัมพันธ์ฉบับนี้.

• เพิ่มการสนับสนุน python3 สำหรับ libaudit
• คำเตือน Cleanup automake
• เพิ่ม AuParser_search_add_timestamp_item_ex จะผูกหลาม
• เพิ่ม AuParser_get_type_name จะผูกหลาม
• การประมวลผลที่ถูกต้องของ obj_gid ใน auditctl (Aleksander Zdyb)
• การตั้งค่าให้ไฟล์ปลั๊กอินแยกที่แข็งแกร่งมากขึ้นสำหรับสายยาว (# 1235457)
• ให้พิมพ์สถานะ auditctl สนามที่หายไปเป็นจำนวนที่ไม่ได้ลงชื่อ
• เพิ่มโหมดการตีความ auditctl -s
• เพิ่มการสนับสนุนการ python3 auparse ห้องสมุด
• ให้ --enable-ZOS ระยะไกลการสร้างตัวเลือกการตั้งค่าเวลา (เคลย์ตัน Shotwell)
• การปรับปรุงสำหรับข้ามรวบรวม (เคลย์ตัน Shotwell)
• เพิ่มการตรวจสอบประเภทของเหตุการณ์ MAC_CHECK
• เพิ่ม libauparse ไฟล์ pkgconfig (Aleksander Zdyb)

มีอะไรใหม่ ในรุ่น 2.4.1:

• ให้การสนับสนุน python3 ง่ายขึ้น
• เพิ่มการสนับสนุนสำหรับ ppc64le (โทนี่โจนส์)
• เพิ่มการแปลบางอย่างสำหรับ a1 ระบบ IOCTL เรียก
• เพิ่มคำสั่งและรายงานการทำงานแบบเสมือนจะ aureport
• รายงานการปรับปรุงการตั้งค่า aureport สำหรับกิจกรรมใหม่
• เพิ่มรายงานสรุปการปรับเปลี่ยนบัญชี aureport
• เพิ่ม GRP_MGMT และ GRP_CHAUTHTOK ชนิดเหตุการณ์
• aureport บัญชีที่ถูกต้องรายงานการเปลี่ยนแปลง
• เพิ่มความสมบูรณ์ของรายงานเหตุการณ์ที่จะ aureport
• เพิ่มรายงานสรุปการเปลี่ยนแปลงการตั้งค่าที่จะ aureport
• ปรับการตั้งค่าระดับ syslogging ใน audispd
• การปรับปรุงประสิทธิภาพการแยกในทุกสิ่งที่
• เมื่อ ausearch ผลสายให้ใช้ค่าแจงก่อนหน้านี้ (เผา Alting)
• ปรับปรุงการค้นหาและการแปลความหมายของกลุ่มต่าง ๆ ในเหตุการณ์ที่เกิดขึ้น
• ครบตีความสนาม proctitle ใน auparse
• libaudit ที่ถูกต้องและการสนับสนุน auditctl สำหรับคุณสมบัติเคอร์เนล
• เพิ่มการสนับสนุนสำหรับการตั้งค่าผ่านทาง backlog_time_wait auditctl
• การปรับปรุงตาราง syscall สำหรับเคอร์เนล 3.18
• รายละเอียด DNS ล้มเหลวสำหรับการตรวจสอบอีเมลใน auditd (# 1138674)
• อนุญาตให้หมุนเป็นการดำเนินการสำหรับ space_left และ disk_full ใน auditd.conf
• สรุปเข้าสู่ระบบที่ถูกต้องของรายงาน aureport
• Auditctl syscalls สามารถคั่นด้วยเครื่องหมายจุลภาครายการตอนนี้
• กฎการปรับปรุงสำหรับระบบย่อยและความสามารถใหม่

มีอะไรใหม่ ในรุ่น 2.3.2:

• ใส่ RefuseManualStop ในส่วน systemd ที่เหมาะสม (# 969345 )
• เพิ่มสคริปต์รีสตาร์ทมรดกให้การสนับสนุน systemd
• เพิ่มมากขึ้นการตีความข้อโต้แย้ง syscall
• เพิ่มคำว่า 'ล้างสำหรับ uid และค่า GID ใน auditctl
• ใน ausearch แยก obj ในบันทึก IPC
• ใน ausearch แยกเรื่องแจ้งในบันทึก DAEMON_ROTATE
• การตีความการแก้ไขปัญหาของ MQ_OPEN และเหตุการณ์ MQ_NOTIFY
• ใน auditd, ส่งเริ่มต้นใหม่ใน SIGHUP ถ้ามันออกมาก่อนหน้านี้
• ใน audispd ออกเมื่อปลั๊กอินที่ใช้งานไม่ถูกตรวจพบในกำหนดค่า
• ใน audispd หน้ากากสัญญาณที่ชัดเจนที่กำหนดโดย libev เพื่อให้ใช้งานได้อีกครั้ง SIGHUP
• ใน audispd ติดตามปลั๊กอินไบนารีและเริ่มต้นถ้าไบนารีได้รับการปรับปรุง
• ใน audispd ให้แน่ใจว่าเราจะส่งสัญญาณไปยังกระบวนการที่ถูกต้อง
• ใน auditd หน้ากากสัญญาณที่ชัดเจนเมื่อวางไข่กระบวนการเด็ก ๆ
• ใน audispd ให้ปลั๊กอิน builtin ตอบสนองต่อการ SIGHUP
• ใน auparse ตีความธงรูปแบบของการเปิด syscall ถ้า O_CREAT ถูกส่งผ่านไป
• ใน audisp ระยะไกลไม่ให้การค้นหาที่อยู่เสมอเป็นความล้มเหลวอย่างถาวร
• ใน audisp ระยะไกลเอาเหตุการณ์ที่เกิดขึ้นได้อย่างมีประสิทธิภาพ EOE
• ใน auditd เข้าสู่ระบบเหตุผลที่เมื่อบัญชีอีเมลไม่ถูกต้อง
• ใน audisp ระยะไกล, การเปลี่ยนแปลงการดำเนินการเริ่มต้นที่จะเชื่อมต่อ remote_ending
• เพิ่มการสนับสนุนสำหรับการประมวลผล Aarch64

มีอะไรใหม่ ในรุ่น 2.2.1:

• เพิ่มมากขึ้นในการตีความ auparse สำหรับพารามิเตอร์ syscall
• เพิ่มการตีความบางอย่างเพื่อ ausearch สำหรับพารามิเตอร์ syscall
• ใน ausearch รายงาน / auparse และจัดสรรพื้นที่พิเศษสำหรับชื่อโหนด
• การปรับปรุงตาราง syscall สำหรับเคอร์เนล 3.3.0
• การปรับปรุง libev 4.0.4
• ลดขนาดของการใช้งานบางอย่าง
• ใน auditctl การใช้งานการตรวจสอบกับ EUID มากกว่า uid

มีอะไรใหม่ ในรุ่น 2.1.1:

• เมื่อ ausearch เป็น interpretting เอาท์พุท & quot; ที่เป็นอยู่ & quot ; หากไม่พบ =
• การตั้งค่าซ็อกเก็ตที่ถูกต้องในการเข้าสู่ระบบจากระยะไกล
• ปรับตั้งค่าเริ่มต้นคู่สำหรับการบันทึกระยะไกลและสคริปต์ init
• Audispd ไม่ได้ทำเครื่องหมายปลั๊กอินเริ่มต้นใหม่ใช้งาน
• Audisp ระยะไกลควรให้ความสามารถถ้า local_port & lt; 1024
• เมื่อรีสตาร์ท audispd ปลั๊กอินส่งเหตุการณ์ในรูปแบบที่ต้องการของ
• ใน audisp ระยะไกลให้ I / O ทั้งหมดไม่ตรงกัน
• ใน audisp ระยะไกล, เพิ่มตัวจัดการ SIGUSR1 การถ่ายโอนข้อมูลสถานะภายใน
• autrace แก้ไขใช้ syscalls ที่ถูกต้องในระบบ s390 และ s390x
• เพิ่ม syscall ปิดการ teardowns การเข้าสู่ระบบจากระยะไกล
• กฎ autrace ที่ถูกต้องสำหรับระบบ 32 บิต

มีอะไรใหม่ ในรุ่น 2.1:

• การปรับปรุงหน้าคน auditctl สำหรับเขตข้อมูลใหม่ในการกรองผู้ใช้
• แก้ไขความผิดพลาดใน aulast เมื่อ auid เป็นชาวต่างชาติที่ระบบ
• สะสางโค้ด
• เพิ่มการจัดเก็บและรูปแบบไปข้างหน้าเพื่อ audispd ระยะไกล (Mirek Trmac)
• หน่วยความจำฟรีที่เพิ่งเริ่มต้นล้มเหลวในการ audisp-โหมโรง
• หน่วยความจำรั่วแก้ไขใน aureport
• แก้ไขปัญหาของรัฐในการแยก libauparse
• การปรับปรุงความทนทานของฟังก์ชั่นการเข้ารหัสสนาม libaudit ก
• ตารางความสามารถในการปรับปรุง
• ใน auditd ให้การตั้งค่าความล้มเหลวในการตรวจสอบการดำเนินการที่สอดคล้องกัน
• ใน auditd ตรวจสอบเป็นโมฆะที่ไม่ได้ถูกส่งผ่านไปยัง safe_exec
• ใน audisp ระยะไกล, overflow_action ไม่ได้ถ้าระงับการกระทำที่ได้รับเลือก
• การปรับปรุงสำหรับการตีความเหตุการณ์ virt
• ปรับปรุงการเตือนการเข้าสู่ระบบจากระยะไกลและข้อความผิดพลาด
• เพิ่มการตีความเหตุการณ์ netfilter

มีอะไรใหม่ ในรุ่น 2.0.6:

• ausearch / ปรับปรุงประสิทธิภาพการทำงานรายงาน
• ประสานกฎตัวอย่าง syscall ทั้งหมดที่จะใช้ดำเนินการรายการ
• หากชื่อโปรแกรมให้กับ audit_log_acct_message หนีมัน
• หน้าคนแก้ไขสำหรับฟังก์ชัน audit_encode_nv_string (# 647131)
• ถ้าค่าเป็นโมฆะไม่ segfault (# 647128)
• แก้ไขแยกเหตุการณ์ง่ายที่จะไม่คิด id ของเซสชั่นไม่สามารถเป็นครั้งสุดท้าย (Peng Haitao)
• เพิ่มการสนับสนุนสำหรับการตรวจสอบแบบใหม่ mmap เหตุการณ์
• เพิ่มความสามารถสำหรับปลั๊กอิน audispd syslog ให้เลือก local0-7 สิ่งอำนวยความสะดวก (# 593340)
• autrace แก้ไขใช้ syscalls ที่ถูกต้องในระบบ i386 (Peng Haitao)
• ในการเริ่มต้นและ Reconfig ตรวจสอบการบันทึกส่วนเกินและยกเลิกการเชื่อมโยงพวกเขา
• เพิ่มคู่หายไปแยกวิเคราะห์ข้อความแก้ปัญหา
• เอาท์พุทแก้ไขข้อผิดพลาดการแก้ไขที่อยู่ที่เป็นตัวเลขและปรับปรุงหน้าคน
• เพิ่มชนิดของเหตุการณ์ netfilter
• แก้ไขข้อผิดพลาดในการสะกดคำในหน้าคน audit.rules (# 667845)
• ปรับปรุงการเตือนใน auditctl เกี่ยวกับโหมดการเปลี่ยนรูป (# 654883)
• การปรับปรุงตาราง syscall สำหรับเคอร์เนล 2.6.37
• ใน ausearch ให้ค้นหา auid -1
• เพิ่มคิว overflow_action เพื่อ audisp ระยะไกลในการควบคุมคิวล้น
• กฎตัวอย่างการปรับปรุงสำหรับ syscalls ใหม่และแพคเกจ

มีอะไรใหม่ ในรุ่น 2.0.5:

• คู่ของการแก้ไขถูกสร้างขึ้นมาสำหรับ 32 บิต ระบบเมื่อใช้สนามไอโหนดในกฎระเบียบ.
• syscall ปรับปรุงตารางถูกสร้างขึ้นมาสำหรับเมล็ดที่ผ่านมา.
• เหตุการณ์ใหม่มีการเพิ่มการให้บริการเริ่มต้น / หยุดและ virtualization.
• การจัดการคำสั่งจะไม่สนใจใน auditctl ได้รับการแก้ไข.

มีอะไรใหม่ ในรุ่น 2.0.3:

• การเข้าสู่ระบบจากระยะไกลหลาย fixups ได้ทำรวมทั้งการที่มีศักยภาพ ปัญหาด้านความปลอดภัยถ้า GSSAPI ถูกเปิดใช้งาน.

มีอะไรใหม่ ในรุ่น 2.0.1:.

• getloginuid ได้คงที่สำหรับผูกหลาม
• ปลั๊กอิน audispd AF_UNIX ถูกยกเลิกโดยปริยาย.
• ข้อผิดพลาดในการเข้าสู่ระบบจากระยะไกลได้รับการแก้ไข.
• สคริปต์ init มีการปรับปรุง.
• หน้าคนที่ได้รับการปรับปรุง.