Služba „audit“ operačního systému Linux

Název služby

auditováno

Popis

auditd je komponenta uživatelského prostoru systému Linux Auditing System. Je zodpovědný za zápis auditních záznamů na disk. Prohlížení protokolů se provádí pomocí ausearch nebo aureport utility. Konfigurace pravidel auditu se provádí pomocí auditctl utility. Při spouštění platí pravidla v /etc/audit.rules jsou čteny auditctl. Samotný audit démon má některé možnosti konfigurace, které si může správce přát přizpůsobit. Najdete je v souboru auditd.conf.

Linux Auditing System poskytuje protokolování systémových volání rezidentní v jádře a nástroje uživatelského prostoru pro shromažďování a prohlížení protokolů. Démon auditd zapisuje záznamy protokolování na disk. auditd je konfigurovatelný tak, aby umožňoval kontrolu nad tím, jaké informace se zapisují do protokolů.

Proč byste měli nechat auditovaný běh?

Informace v protokolu se mohou ukázat jako užitečné při ladění problémů souvisejících se zabezpečením. Například auditd se používá k protokolování událostí SELinux. Existují také nástroje, jako je aureport, které vám umožňují zobrazit protokol auditu.

Podrobnosti služby

Umístění skriptu Init.d

/etc/init.d/auditd

Ukázka výstupu chkconfig

# chkconfig --list auditd
auditd          0:off   1:off   2:on    3:on    4:on    5:on    6:off

Dostupné možnosti využití služeb

# service auditd
Usage: /etc/init.d/auditd {start|stop|status|restart|condrestart|reload|rotate}

Spuštění služby:

# service auditd start
Starting auditd:                                           [  OK  ]

Zastavení služby:

# service auditd stop
Stopping auditd:                                           [  OK  ]

Chcete-li zkontrolovat stav služby:

# service auditd status
auditd (pid 8951) is running...

Restartování služby:

# service auditd restart
Stopping auditd:                                           [  OK  ]
Starting auditd:                                           [  OK  ]

Podmíněné restartování služby:

# service auditd condrestart
Stopping auditd:                                           [  OK  ]
Starting auditd:                                           [  OK  ]

Chcete-li znovu načíst službu:

# service auditd reload
Reloading configuration:                                   [  OK  ]

Postup otočení protokolů:

# service auditd rotate
Rotating logs:                                             [  OK  

Jaké démony spouští

/sbin/auditd

Které moduly se načítají

audit-libs
audit-libs-python

Další informace

Balíčky RPM

audit-[version]-[release]
audit-libs-[version]-[release]
audit-libs-python-[version]-[release]

Konfigurační soubory

/etc/audit/audit.rules - audit rules to be loaded at startup
/etc/audit/auditd.conf - configuration file for audit daemon
/etc/sysconfig/auditd  - additional configuration file