감사 데몬 (은 auditd)는 오픈 소스, 무료 대화 형이 아닌 데몬, 리눅스 커널 기반 운영 체제에서 감사 규칙을 만드는 데 필요한 사용자 공간 도구를 제공하는 명령 줄 프로그램입니다.
제한된 독립 감사 프레임 워크로 작동
이 소프트웨어는 또한 검색 및 리눅스 커널 2.6 이상에서 감사 서브 시스템에 의해 생성 된 감사 기록을 저장하는 데 사용할 수 있습니다. 그것은 당신의 GNU / 리눅스 배포판에 제한된 독립 감사 프레임 워크로 사용할 수 있습니다.
리눅스 감사 프레임 워크
또한 리눅스 감사 프레임 워크로 알려진, 감사 데몬 프로젝트가 초기에 SELinux를 같은 프로젝트에서 제공하는 기존 기능에 스테핑없이 시스템 호출 감사를 제공하기 위해 만들어졌다.
어떻게 프로그램이 작동
프로그램을 열고 audit_control 파일에 지정된 폴더에서 찾을 수 있습니다 가까운 감사 로그 파일 수 있습니다. 그것은 그들이 그 파일에 지정된 커널에서만 감사 데이터를 읽는 순서에있는 모든 파일을 취할 것입니다. 그리고,이 감사 로그 파일에 데이터를 기록한다.
는 또한, 그것은 각각의 감사 폴더가 audit_control 파일에 기록 된 지정된 한계를지나 채울 때 audit_warn라는 스크립트를 실행합니다. 감사 데몬이 다음 콘솔과 audit_warn 메일 별칭에 경고를 보낼 것입니다.
감사 데몬 설치
소스 패키지를 사용하여 GNU / Linux 운영 체제에 감사 데몬을 설치하려면, 먼저 공식 웹 사이트에서 다운로드 (문서의 끝 부분에있는 홈페이지 링크를 참조)가 홈에 아카이브를 저장합니다 디렉토리 및 아카이브 관리자 도구를 사용하여 압축을 풉니 다.
CD 했음
터미널 에뮬레이터에서 & lsquo을 사용하여 추출 된 아카이브 파일의 위치로 이동합니다; ./ 구성 && 확인 했음; 명령 (예를 들어 CD의 /home/softoware/audit-2.4.1), & lsquo을 실행; sudo는이 했음 설치 및 확인, 구성 및 프로그램을 컴파일하는 명령은 다음 & lsquo을 실행; 명령은 그것을 설치하는 시스템 전체
이 릴리스의 새로운 기능 : 있습니다.
libaudit에 대한 python3 지원 추가
정리 automake에 경고
파이썬 바인딩에 AuParser_search_add_timestamp_item_ex 추가
파이썬 바인딩에 AuParser_get_type_name 추가
AUDITCTL에 obj_gid의 올바른 처리 (알렉산더 Zdyb)
플러그인 설정 파일 긴 줄에 대한보다 강력한 구문 분석합니다 (# 1235457)
확인 AUDITCTL 상태 인쇄 손실 필드와 부호없는 수
AUDITCTL가 -s에 대한 해석 모드 추가
auparse 라이브러리에 python3 지원 추가
확인 --enable-ZOS - 원격 빌드 시간 구성 옵션 (클레이튼 Shotwell)
크로스 컴파일에 대한 업데이트 (클레이튼 Shotwell)
MAC_CHECK 감사 이벤트 유형을 추가
libauparse pkgconfig 파일을 추가합니다 (알렉산더 Zdyb)
python3 지원이 쉽게 확인 :
버전 2.4.1의 새로운 기능
ppc64le에 대한 지원을 추가 (토니 존스)
IOCTL 시스템 호출의 A1 일부 번역을 추가
aureport 명령 및 가상화 보고서를 추가
새로운 이벤트에 대한 aureport 설정 보고서를 업데이트
aureport하는 계정 수정 요약 보고서 추가
GRP_MGMT 및 GRP_CHAUTHTOK 이벤트 유형 추가
올바른 aureport 계정 변경 보고서
aureport하는 무결성 이벤트 보고서를 추가
aureport하는 설정 변경 요약 보고서 추가
audispd 일부 시스 로그 로깅 레벨 설정을 조정합니다
모든 일에 구문 분석 성능 향상
ausearch이 선을 출력 할 때, 이전에 분석 값을 (Alting 굽기)를 사용
행사에 그룹을 검색하고 해석 개선
완전 auparse에서 proctitle 필드를 해석
올바른 libaudit와 커널 기능에 대한 AUDITCTL 지원
AUDITCTL 통해 backlog_time_wait 설정에 대한 지원을 추가
3.18 커널 업데이트 시스템 콜 테이블
은 auditd 이메일 확인을위한 DNS 오류를 무시 (# 1138674)를
auditd.conf에 space_left에 대한 행동과 disk_full으로 회전 허용
aureport의 올바른 로그인 요약 보고서
AUDITCTL 시스템 콜은 지금 쉼표로 구분 된 목록이 될 수 있습니다
새로운 서브 시스템 및 기능에 대한 업데이트 규칙
버전 2.3.2의 새로운 기능 :
오른쪽 systemd 섹션에서 RefuseManualStop를 착용 할 것 (# 969345)
systemd 지원을 위해 기존의 다시 시작 스크립트를 추가
더 콜 인수 해석 추가
AUDITCTL에서 UID 및 GID 값을 추가 '해제'키워드
ausearch에서, IPC 기록에 OBJ를 구문 분석
ausearch에서 DAEMON_ROTATE 기록에 흔들림 감지를 구문 분석
MQ_OPEN 및 MQ_NOTIFY 이벤트의 해석을 수정
이전에 종료 한 경우 인 auditd에 SIGHUP에 디스패처를 다시 시작
audispd에서, 출구는 활성 플러그인은 재구성에 감지되지 않을 때
SIGHUP 다시 작동하도록 audispd에서, 명확한 신호 마스크는 libev 설정
audispd에서 바이너리 플러그인을 추적하고 바이너리가 업데이트 된 경우 다시 시작
audispd에서, 반드시 우리가 올바른 프로세스에 신호를 보낼 수 있도록
은 auditd, 명확한 시그널 마스크에서 자식 프로세스를 생성 할 때
audispd에서, 내장 플러그인 SIGHUP에 응답 할 수 있도록
O_CREAT가 전달되는 경우 auparse에서 열린 콜의 모드 플래그를 해석
audisp는-원격에서 영구 장애 항상 주소 조회를하지 않습니다
audisp는-원격에서보다 효율적으로 EOE 이벤트를 제거
이메일 계정이 유효하지 않은 경우 인 auditd에서 이유를 기록
audisp는-원격에서 변경 기본 remote_ending 조치가 다시 연결
Aarch64 프로세서에 대한 지원을 추가
콜 매개 변수에 대한 auparse 더 해석을 추가 :
버전 2.2.1의 새로운 기능
콜 매개 변수에 대한 ausearch 몇 가지 해석을 추가
ausearch / 보고서 auparse에서, 노드 이름에 대한 여분의 공간을 할당
3.3.0 커널 업데이트 시스템 콜 테이블
4.0.4로 업데이트 libev
일부 응용 프로그램의 크기를 줄입니다
AUDITCTL에서 UID보다는 EUID에 대한 사용을 확인
버전 2.1.1의 새로운 기능 :
ausearch는, 출력 & quot을 interpretting 경우; & quot 같이; 더 =이 발견되지 않는 경우
원격 로깅에 올바른 소켓 설치
원격 로깅 및 초기화 스크립트에 대한 조정 몇 가지 기본 설정
Audispd 활성으로 다시 시작 플러그인을 표시하지 않은
LOCAL_PORT & LT 경우 기능을 유지해야 audisp는-원격; 1024
audispd이 플러그인을 다시 시작되면, 바람직한 형식으로 이벤트를 보내
audisp는-원격에서, I / O 비동기 모두 확인
audisp는-원격에서 내부 상태를 덤프 SIGUSR1 처리기를 추가
s390의 및 s390x가 시스템에서 올바른 시스템 콜을 사용하는 autrace 수정
원격 로깅 분해 분석에 종료 콜 추가
32 비트 시스템에 대한 올바른 autrace 규칙
버전 2.1의 새로운 기능 :
사용자 필터에 새로운 분야에 대한 AUDITCTL 매뉴얼 페이지를 업데이트
AUID 시스템에 외국 때 aulast에서 충돌 수정
코드 정리
audispd - 원격을 위해 저장 및 전달 모델을 추가 (미렉 Trmac)
audisp는-전주곡에 실패한 벤처 기업에 무료 메모리
aureport에서 메모리 누수 수정
libauparse의 구문 분석 상태 문제를 해결
libaudit 필드 부호화 기능의 견고성을 향상
업데이트 기능 테이블
은 auditd에서 일관성 검사 장애 조치 설정을
은 auditd에서, 그 NULL을 safe_exec에 전달되지 않는 확인
해당 작업이 선택한 경우 audisp는-원격에서 overflow_action는 중단되지 않았습니다
VIRT 이벤트에 대한 업데이트 해석
원격 로깅 경고 및 오류 메시지 개선
넷 필터 이벤트에 대한 해석을 추가
ausearch / 보고서 성능 향상 :
버전 2.0.6의 새로운 기능
액션을 사용하는 모든 샘플 콜 규칙을 동기화 목록
프로그램 이름 audit_log_acct_message 제공하는 경우, 탈출
audit_encode_nv_string 기능에 대한 매뉴얼 페이지를 수정 (# 647131)
값이 NULL이면, 세그 폴트하지 않습니다 (# 647128)
마지막이 될 수 없습니다 세션 ID를 가정하지 않는 구문 분석 간단한 이벤트를 수정 (펭 하이 타오)
새로운 mmap에 감사 이벤트 유형에 대한 지원을 추가
선택 audispd 시스템 로그 플러그인에 대한 기능을 추가 시설 local0-7 (# 593340)
I386 시스템에서 올바른 시스템 콜을 사용하는 autrace 수정 (펭 하이 타오)
시작 및 재구성에, 초과 로그를 확인하고 연결을 해제
몇없는 파서 디버그 메시지를 추가
숫자 주소를 해결 오류 출력을 수정하고 매뉴얼 페이지를 업데이트
넷 필터 이벤트 유형 추가
audit.rules 사람 페이지 (# 667845)에 맞춤법 오류를 수정
불변의 모드에 대한 AUDITCTL에 경고를 개선 (# 654883)
2.6.37 커널 업데이트 시스템 콜 테이블
ausearch에서 AUID를 검색 할 수 -1
큐 오버 플로우를 제어 할 수-원격 audisp는하는 큐 overflow_action 추가
새로운 시스템 콜과 패키지 업데이트 샘플 규칙
버전 2.0.5의 새로운 기능 :
이 규칙에 아이 노드 필드를 사용하면 32 비트 시스템에 만들어진 수정의 커플.
콜 테이블 업데이트는 최근 커널을 위해 만들어졌다.
새로운 이벤트는 서비스 시작 / 정지 및 가상화를 위해 추가되었습니다.
AUDITCTL에서 무시 지침의 처리가 수정되었습니다.
버전 2.0.3의 새로운 기능 :
많은 원격 로깅 픽스 업이 GSSAPI가 활성화 된 경우 잠재적 인 보안 문제를 포함하여 수행되었다.
버전 2.0.1의 새로운 기능 :
getloginuid은 파이썬 바인딩에 대한 수정되었습니다.
audispd의 AF_UNIX 플러그인은 기본적으로 비활성화되었습니다.
원격 로깅의 버그가 수정되었습니다.
init 스크립트가 업데이트되었습니다.
맨 페이지가 업데이트되었습니다.
댓글을 찾을 수 없습니다