демон аудит (auditd) є відкритим вихідним кодом, безкоштовно і без інтерактивна демон, програма командного рядка, яка забезпечує необхідні простору користувача інструменти для створення правила аудиту на основі ядра операційних систем Linux.
Працює як обмежений автономному рамках аудиторської
Програмне забезпечення також може бути використаний для пошуку і зберігання записів аудиту, які були створені з аудиту підсистеми в ядрі Linux 2.6 або пізнішої. Він працює в якості обмеженого автономного рамках аудиторської від вашого дистрибутива GNU / Linux.
Ревізійна рамки Linux
Також відомий як Ревізійної Framework Linux, проект аудиту демон був спочатку створений, щоб забезпечити аудит системних викликів, не виходячи на існуючої функціональності, що надається за проектами, як SELinux.
Як працює програма
Програма може відкривати і закривати файли журналу аудиту, які знайдете в папках, зазначених у файлі audit_control. Це займе всі файли в тому порядку, вони зазначені в цьому файлі і читає тільки дані аудиту з ядра. Потім він пише, що дані в файл журналу аудиту.
Крім того, він виконує скрипт audit_warn, коли відповідні папки аудиту заповнити повз зазначених межах, записаних у файлі audit_control. аудит демон буде відправити попередження на консоль і в audit_warn пошти псевдонім.
Установка аудиту демон
Для установки аудиту демон на операційній системі GNU / Linux з використанням вихідного пакету, ви повинні спочатку завантажити його з офіційного сайту (посилання сторінкою в кінці статті), збережіть архів на ваш будинок каталог і розпакувати його за допомогою інструменту архів менеджер.
в емуляторі терміналу, перейдіть в папку, здобутих архівних файлів за допомогою & lsquo; CD & Rsquo; Команда (наприклад, CD /home/softoware/audit-2.4.1), запустіть & lsquo; ./ налаштувати && зробити & Rsquo; Команда для налаштування і компіляції програми, потім запустити і lsquo; Судо зробити установку і Rsquo; команда для установки у всій системі
Що нового У цьому випуску :.
- додати підтримку python3 для libaudit
- Очищення Automake попередження
- Додати AuParser_search_add_timestamp_item_ex для пітона прив'язок
- Додати AuParser_get_type_name для пітона прив'язок
- Коректна обробка obj_gid в auditctl (Олександр Zdyb)
- Зробити плагін конфігураційний файл розбір більш надійною для довгих ліній (# 1235457)
- Зробити статус auditctl друку втратили поле як число без знака
- Додати в режим інтерпретації для auditctl -s
- Додана підтримка python3 в auparse бібліотека
- Зробити --enable-ZOS-пульт дистанційного опцію конфігурації час збірки (Клейтон Шотуелл)
- Оновлення для крос-компіляції (Клейтон Шотуелл)
- Додати MAC_CHECK тип події аудиту
- Додати файл libauparse pkgconfig (Олександр Zdyb)
Що нового у версії 2.4.1:
- Зробити підтримка python3 легше
- Додана підтримка ppc64le (Тоні Джонс)
- Додати деякі переклади для а1 системи управління введенням-виводом викликає
- Додати команда і віртуалізації звіти aureport
- Звіт Оновлення aureport конфігурації для нових подій
- Додати рахунку модифікація доповідь aureport
- Додати GRP_MGMT і GRP_CHAUTHTOK типи подій
- Зміна облікового запису Правильне aureport
- Додати звіт подій цілісність, щоб aureport
- Додати зведений звіт зміна конфігурації в aureport
- змінити деякі настройки рівня системного журналу в audispd
- Поліпшення продуктивності розбору у всьому
- Коли ausearch виводить рядки, використовуйте раніше розібрані значення (Запис Альтинг)
- Поліпшення пошуку та інтерпретації групи у заходах
- Повністю інтерпретувати proctitle поле в auparse
- Правильне libaudit та підтримка auditctl для функцій ядра
- Додана підтримка backlog_time_wait обстановці за допомогою auditctl
- Оновлення системних викликів столи для ядра 3.18
- Ігнорувати відмова DNS для перевірки електронної пошти в auditd (# 1138674)
- Дозволити обертатися дій space_left і disk_full в auditd.conf
- Правильне Ввійти короткий звіт про aureport
- Auditctl системні виклики можуть бути розділені коми список в даний час
- Правила поновлення для нових підсистем і можливостей
Звіти
Що нового у версії 2.3.2:
- Помістіть RefuseManualStop в правильному Systemd розділі (# 969345 )
- Додати скриптів спадщина перезапуск Systemd підтримки
- Додати більше системних викликів аргумент інтерпретації
- Додати 'скиньте ключове слово для UID і GID значень в auditctl
- У ausearch, розібрати OBJ в IPC записів
- У ausearch, розібрати Subj в DAEMON_ROTATE записів
- Виправлена інтерпретація MQ_OPEN і MQ_NOTIFY подій
- У auditd, перезавантаження диспетчер на SIGHUP, якщо він раніше вийшов
- У audispd, вихід, коли немає активних плагінів не виявлено на переналаштувати
- У audispd, ясно, маска сигналу встановлюється таким чином, щоб libev SIGHUP знову працює
- У audispd, відстежувати бінарні плагіни і перезапустити, якщо файл був оновлений
- У audispd, переконайтеся, що ми посилаємо сигнали в правильній процесу
- У auditd, ясно, маска сигналу, коли нересту будь дочірній процес
- У audispd, зробити BUILTIN плагіни відповісти на SIGHUP
- У auparse, інтерпретувати режим прапори відкритого системного виклику, якщо O_CREAT передається
- У audisp-пульт, не роблять пошук адреси завжди постійним несправність
- У audisp-пульт, більш ефективно видаляти події Eoe
- У auditd, увійдіть причину, коли обліковий запис електронної пошти не є дійсним
- У audisp-пульт, зміна дії за умовчанням remote_ending відновити
- Додана підтримка для процесорів Aarch64
Що нового у версії 2.2.1:
- Додати більше інтерпретації в auparse для параметрів SYSCALL
- Додати кілька інтерпретацій у ausearch параметрів SYSCALL
- У ausearch / звіту та auparse, виділити додатковий простір для імен вузлів
- Оновлення системних викликів столи для ядра 3.3.0
- Оновлення libev в 4.0.4
- Зменшити розмір деяких додатків
- У auditctl, перевірити використання проти EUID ніж UID
Що нового у версії 2.1.1:
- Коли ausearch є interpretting, вихід & Quot; як і Quot ; якщо немає = Не знайдений
- Правильно установки розетка в віддаленого журналирования
- Скоригований настройки пара замовчуванням для віддаленого журналирования і сценарієм ініціалізації
- Audispd НЕ маркування перезапущени плагіни в якості активного
- Audisp-пульт повинен зберегти можливість, якщо local_port & Lt; 1024
- Коли audispd перезапускає модуль, надіслати подію в потрібний формат
- У audisp-пульт, щоб всі I / O асинхронним
- У audisp-пульт, додати обробник SIGUSR1 скинути внутрішній стан
- Виправлена autrace використовувати правильні системні виклики на s390 і s390x систем
- Додати виключення системного виклику віддаленим розборок лісозаготівельних
- Правильне правило autrace 32 біт систем
Що нового у версії 2.1:
- Оновлення auditctl людина сторінка нового поля на користувача фільтр
- Виправлена аварії в aulast коли auid чуже системи
- Код прибирань
- Додати магазин і вперед модель audispd-пульт (Мірек Trmac)
- Вільна пам'ять на невдалих стартапів в audisp-прелюдії
- Виправлена витік пам'яті в aureport
- Fix розбір державної проблеми в libauparse
- Поліпшення надійності функцій кодування libaudit поле
- таблиці з можливістю оновлення
- У auditd, зробити дію відмова конфігурації перевірки послідовного
- У auditd, перевірити, що NULL не передається в safe_exec
- У audisp-пульт, overflow_action не зупиняє дію, якщо це було обрано
- Оновлення інтерпретації для Вірт подій
- Поліпшення дистанційного попередження журналу, а повідомлення про помилки
- Додати інтерпретації для NETFILTER подій
Що нового у версії 2.0.6:
- поліпшення
- ausearch / продуктивність звіт
- Синхронізація всі правила зразок SYSCALL використовувати заходи, список
- Якщо ім'я програми надається audit_log_acct_message, уникнути його
- Виправлена людина сторінка для функції audit_encode_nv_string (# 647131)
- Якщо значення NULL, що не сегментації (# 647128)
- Fix простий подія розбору не допустити, ідентифікатор сесії не може бути в минулому (Пен Хайтао)
- Додана підтримка нового типу подій ММАП аудит
- Додати здатність до плагіну audispd системного журналу, щоб вибрати об'єкт local0-7 (# 593340)
- Виправлена autrace використовувати правильні системні виклики на i386 системах (Пен Хайтао)
- При запуску і RECONFIG, перевірте надлишкових журналів і від'єднати їх
- Додати пару вистачає парсер налагоджувальні повідомлення
- Виправлена помилка виходу рішення числову адресу і оновлення довідкову сторінку
- Додати Netfilter типи подій
- Fix орфографічну помилку в audit.rules людина сторінці (# 667845)
- Поліпшення попередження відносно auditctl незмінною режимі (# 654883)
- Оновлення системних викликів столи для ядра 2.6.37
- У ausearch, дозволяють шукаєте auid -1
- Додати черзі overflow_action в audisp-пульт дистанційного керування для управління чергою переповнення
- правила зразок поновлення для нових системних викликів і пакетів
Що нового у версії 2.0.5:
- Кілька виправлень були зроблені для 32-біт Системи, що використовують при поле инода в правилах.
- Оновлення SYSCALL стіл були зроблені для останніх ядер.
- Нові події були додані для початку обслуговування / зупинки і віртуалізації.
- Обробка ігнорування директиви в auditctl було зафіксовано.
Що нового у версії 2.0.3:
- Багато віддаленого журналирования fixups було зроблено, в тому числі потенціалу Проблема безпеки, якщо GSSAPI був включений.
Що нового у версії 2.0.1 :.
- getloginuid був призначений на Python прив'язки
- Плагін audispd AF_UNIX був відключений за замовчуванням.
- Виправлена помилка в віддаленого журналирования була встановлена.
- Коли сценарій був оновлений.
- Сторінка людина був оновлений.
Коментар не знайдено