audit daemon

demon audytu (auditd) jest open source, wolne i nie-interaktywne demon, program wiersza polecenia, które zapewnia niezbędne narzędzia przestrzeni użytkownika do tworzenia zasad audytu w systemach operacyjnych Linux Kernel-based.

Oprogramowanie może być również używany do wyszukiwania i przechowywania zapisów z kontroli, które zostały wygenerowane przez podsystem audytu w jądrze Linux 2.6 lub nowszej. To działa jako samodzielny ramach audytu ograniczonego na swojej dystrybucji GNU / Linux.

Również znany jako Linux Rewizyjnej ram, projekt demon audytu początkowo stworzona w celu zapewnienia audytu wywołania systemowego bez wychodzenia na istniejącej funkcjonalności dostarczanej przez projekty jak SELinux.

Program może otwierać i zamykać pliki dziennika audytu, które znaleźć w folderach określonych w pliku audit_control. To zajmie wszystkie pliki w kolejności są określone w tym pliku i odczytuje tylko dane audytu z jądra. Wtedy, to pisze, że dane do pliku dziennika kontroli.

Dodatkowo, wykonuje skrypt o nazwie audit_warn gdy odpowiednie foldery audytu wypełnić przeszłości określonych granicach zapisanych w pliku audit_control. Demon audytu wyśle ​​ostrzeżenia do konsoli i do aliasu audit_warn mail.

Aby zainstalować demona audytu systemu operacyjnego GNU / Linux przy użyciu pakietu źródłowego, musisz najpierw pobrać go z oficjalnej strony (patrz link stronę na końcu artykułu), zapisać archiwum na Twoim Domu katalogu i rozpakuj go za pomocą archiwum narzędzie zarządzania.

W emulatora terminala, przejdź do lokalizacji, w wyodrębnionych plików archiwalnych za pomocą & lsquo; CD & rsquo; polecenie (np /home/softoware/audit-2.4.1 cd), uruchomić i skonfigurować lsquo; ./ & rsquo && make; polecenie, aby skonfigurować i skompilować program, a następnie uruchom & lsquo; sudo make install & rsquo; polecenie, aby go zainstalować systemu szerokości

Co nowego w tym wydaniu:.

• Dodaj wsparcie python3 dla libaudit
• ostrzeżenia Oczyszczanie automake
• Dodaj AuParser_search_add_timestamp_item_ex do Pythona,
• Dodaj AuParser_get_type_name do Pythona,
• Poprawne przetwarzanie obj_gid w auditctl (Aleksander Zdyb)
• plugin plik konfiguracyjny parsowania bardziej wytrzymałe na długich liniach (# 1235457)
• druku stan auditctl utracone pole numeru jako niepodpisane,
• Dodaj trybu interpretacji dla auditctl -s
• Dodaj wsparcie python3 do auparse biblioteki
• --enable-ZOS-zdalny opcję konfiguracji czas budowy (Clayton Shotwell)
• Aktualizacje dla kompilacji krzyżowej (Clayton Shotwell)
• Dodaj MAC_CHECK typ zdarzenia audytu
• Dodaj libauparse plik pkgconfig (Aleksander Zdyb)

Co nowego w wersji 2.4.1:

• Wsparcie python3 łatwiejsze
• Dodaj wsparcie dla ppc64le (Tony Jones)
• Dodaj niektóre tłumaczenia a1 systemu ioctl zwraca
• Dodaj dowodzenia i wirtualizacji raportów aureport
• Raport Aktualizacja config aureport nowych wydarzeń,
• Dodaj konto raport podsumowujący modyfikacja aureport
• Dodaj typy zdarzeń GRP_MGMT i GRP_CHAUTHTOK

raporty
• Zmień konto Prawidłowe aureport
• Dodaj raport zdarzeń integralności do aureport
• Dodaj config raport podsumowujący zmiany aureport
• Regulacja poziomu sysloga niektórych ustawień w audispd
• Pomóż analizowania wydajności we wszystkim,
• Po ausearch wyjścia linii, użyj wcześniej analizowany wartości (Tajne Alting)
• Pomóż poszukiwania i interpretowania grupy w imprezach
• W pełni zinterpretować pole proctitle w auparse
• Prawidłowe libaudit i wsparcie auditctl na funkcje jądra,
• Dodaj wsparcie dla backlog_time_wait ustawienia poprzez auditctl
• stoły Aktualizacja wywołanie systemowe dla jądra 3.18
• Ignoruj ​​awarii DNS dla walidacji e-mail w auditd (# 1138674)
• Pozwala obracać działania dla space_left i disk_full w auditd.conf
• Prawidłowy raport podsumowujący logowania aureport

wywołań systemowych
• Auditctl może być oddzielona przecinkami lista teraz
• zasady aktualizacji dla nowych podsystemów i możliwości

Co nowego w wersji 2.3.2:

• Put RefuseManualStop w prawej części Systemd (# 969345 ),
• Dodaj skrypty dziedzictwo restartem Systemd wsparcia
• Dodaj więcej interpretacje argumentów wywołanie systemowe
• Dodaj "wyłączony" słowo kluczowe uid i gid wartości w auditctl
• W ausearch, analizowania obj w ewidencji IPC
• W ausearch, analizowania subj w ewidencji DAEMON_ROTATE
• interpretacja Fix MQ_OPEN i MQ_NOTIFY wydarzeń
• W auditd, restart dyspozytor na SIGHUP jeśli wcześniej wyszedł
• W audispd, wyjście aktywne, gdy nie wykryto wtyczki na zmiany konfiguracji
• W audispd, jasne maska ​​sygnału ustawiony przez libev tak, że SIGHUP znowu działa,
• W audispd, śledzić wtyczek binarnych i ponownie uruchomić, jeśli binarny została zaktualizowana,
• W audispd, upewnij się, że możemy wysyłać sygnały do ​​prawidłowego procesu
• W auditd, jasny sygnał, gdy maska ​​tarło dowolnego potomka
• W audispd, aby wbudowane wtyczki odpowiedzi na SIGHUP
• W auparse, interpretować flagi trybie otwartym syscall jeśli O_CREAT przechodzi
• W audisp-remote, nie sprawiają, wyszukiwanie adresów zawsze trwałe uszkodzenie
• W audisp-remote, usuwanie zdarzeń EOE bardziej efektywnie,
• W auditd, zaloguj powód, gdy konto e-mail nie jest poprawny,
• W audisp-pilot, zmiana domyślnej akcji remote_ending połączyć się ponownie,
• Dodaj wsparcie dla procesorów Aarch64

Co nowego w wersji 2.2.1:

• Dodaj więcej interpretacje w auparse dla parametrów wywołanie systemowe
• Dodaj pewne interpretacje ausearch parametrów wywołanie systemowe
• W ausearch / raportu i auparse, przeznaczyć dodatkową przestrzeń nazw węzłów
• stoły Aktualizacja wywołanie systemowe dla jądra 3.3.0
• Aktualizuj libev do 4.0.4
• Zmniejsz rozmiar niektórych aplikacji
• W auditctl, sprawdzić użycie przeciwko euid zamiast uid

Co nowego w wersji 2.1.1:

• Po ausearch jest interpretting, wyjście & quot; jak & quot ; jeśli nie zostanie znaleziony =
• Prawidłowa konfiguracja Gniazdo zdalnego logowania
• Po skorygowaniu ustawienia domyślnego kilka do zdalnego rejestrowania i skrypcie
• Audispd nie znakowania wznowiona wtyczek jako aktywny
• Audisp-pilot powinien zachować zdolność jeśli port_lokalny & lt; Jeden tysięcydwudziestuczterech
• Po audispd restartuje plugin, wysyłać zdarzenia w preferowanym formacie
• W audisp-remote, aby wszystkie I / O asynchroniczne
• W audisp-remote, dodać obsługi SIGUSR1 zrzucić stan wewnętrzny
• Fix autrace używać poprawnych wywołań systemowych w systemach S390 i s390x
• Dodaj do zdalnego zamykania syscall rozmontowywanie logowania
• Poprawna reguła autrace na systemach 32-bitowych,

Co nowego w wersji 2.1:

• Aktualizuj strona man auditctl do nowego pola na filtrze użytkownika
• Crash Fix w aulast gdy auid jest obcy dla systemu
• czyszczenie kodu
• Dodaj sklep i model doczekać audispd-remote (Mirek Trmac)
• Wolna pamięć o nieudanych startupów w audisp-preludium
• wyciek pamięci Fix w aureport
• Fix analizowania problemu państwa w libauparse
• Poprawa odporności funkcji kodowania pola libaudit
• możliwość aktualizacji tabel
• W auditd, aby działania awaria config sprawdzenie spójnego
• W auditd, sprawdzić, czy nie jest NULL przekazywane safe_exec
• W audisp-remote, overflow_action nie zawiesza jeśli akcja została wybrana
• interpretacje aktualizacji dla wydarzeń VIRT
• Pomóż zdalne ostrzeżenia i komunikaty o błędach logowania
• Dodaj interpretacje zdarzeń netfiltera

Co nowego w wersji 2.0.6:

ulepszenia
• ausearch / wydajności raport
• Synchronizuj wszystkie zasady próbka syscall używać działań, lista
• Jeśli nazwa programu przewidziane do audit_log_acct_message, uciec,
• Strona człowiek Fix dla funkcji audit_encode_nv_string (# 647131)
• Jeśli wartość jest NULL, nie wysypać (# 647128)
• Rozwiąż proste zdarzenie parsowania nie zakładamy identyfikator sesji nie może być ostatnia (Peng Haitao)
• Dodaj wsparcie dla nowego typu zdarzenia audytu mmap
• Dodaj zdolność do wtyczki audispd syslog wybrać local0-7 obiekt (# 593340)
• autrace Fix używać poprawnych wywołań systemowych w systemach i386 (Peng Haitao)
• Na starcie i reconfig, sprawdzić nadmiaru dzienników i odłączyć je
• Dodaj kilka brakujących wiadomości parser debug
• Wyjście błędu Fix rozwiązywania numeryczny adres i aktualizacja strony człowieka
• Dodaj netfilter typy zdarzeń,
• w błąd ortograficzny Fix stronie audit.rules człowieka (# 667845)
• Pomóż ostrzeżenie w auditctl dotyczące trybu niezmiennej (# 654883)
• stoły Aktualizacja wywołanie systemowe dla jądra 2.6.37
• W ausearch, umożliwiają poszukiwanie auid -1
• Dodaj do audisp kolejki overflow_action pilot do sterowania-przepełnienia kolejki
• Aktualizuj przykładowe reguły dla nowych syscalls i pakietów

Co nowego w wersji 2.0.5:

• Kilka poprawek zostały wykonane dla 32-bit Systemy podczas korzystania z pola i-węzłów w przepisach.
• aktualizacje tabeli wywołanie systemowe zostały wykonane do ostatnich jądrach.
• Nowe zdarzenia zostały dodane na początku usług / stop i wirtualizacji.
• obsługa dyrektywy ignorować w auditctl została ustalona.

Co nowego w wersji 2.0.3:

• Wiele fixups zdalnego logowania zostały wykonane, w tym potencjału problem bezpieczeństwa, jeśli gssapi była włączona.

Co nowego w wersji 2.0.1:.

• getloginuid została ustalona dla Pythona
• Wtyczka audispd AF_UNIX została domyślnie wyłączona.
• Błąd w pilota zdalnego logowania został ustalony.
• skrypt został zaktualizowany.
• strona podręcznika została zaktualizowana.