الخفي التدقيق (auditd) هو مفتوح المصدر، الخفي الحرة وغير تفاعلي، برنامج سطر الأوامر التي توفر ما يلزم من أدوات المستخدم مساحة لإنشاء قواعد التدقيق على لينكس أنظمة التشغيل على أساس نواة.
يعمل كإطار تدقيق مستقل محدود
ويمكن للبرنامج أيضا أن تستخدم للبحث وتخزين سجلات التدقيق التي تم إنشاؤها من قبل النظام الفرعي التدقيق في نواة لينكس 2.6 أو في وقت لاحق. أنها تعمل بمثابة إطار المراجعة مستقل محدود على توزيع جنو / لينكس الخاص بك.
في إطار المراجعة لينكس
والمعروف أيضا باسم إطار المراجعة لينكس، تم إنشاء المشروع الخفي التدقيق في البداية لتوفير التدقيق استدعاء النظام دون ندوس على الوظائف الموجودة التي توفرها مشاريع مثل سيلينو.
كيفية عمل البرنامج
ويمكن للبرنامج فتح وإغلاق ملفات سجل التدقيق التي تم العثور عليها في المجلدات المحددة في ملف audit_control. سوف يستغرق كل الملفات في النظام يتم تحديدها في هذا الملف ويقرأ البيانات التدقيق فقط من النواة. ثم، فإنه يكتب البيانات إلى ملف سجل التدقيق.
وبالإضافة إلى ذلك، ينفذ برنامج نصي دعا audit_warn عندما تملأ مجلدات مراجعة كل الماضي حدود معينة مكتوبة في ملف audit_control. سوف الخفي التدقيق ثم ترسل تحذيرات إلى وحدة التحكم وإلى الاسم المستعار البريد audit_warn.
تثبيت البرنامج الخفي التدقيق
لتثبيت البرنامج الخفي التدقيق على نظام جنو / لينكس تعمل باستخدام حزمة مصدر، سيكون لديك لأول تحميل البرنامج من موقعه الرسمي على الانترنت (انظر الرابط زيارة في نهاية المقالة)، وحفظ الأرشيف في منزلك دليل، وفك باستخدام أداة مدير الأرشيف.
في محطة المحاكي، انتقل إلى الموقع من ملفات الأرشيف المستخرجة باستخدام وسقوو]؛ CD & [رسقوو]؛ الأوامر (مثل قرص /home/softoware/audit-2.4.1)، تشغيل وسقوو]؛ ./ تكوين && جعل و[رسقوو]؛ الأوامر لتكوين وتجميع البرنامج، ثم قم بتشغيل وسقوو]؛ سودو جعل تركيب و[رسقوو]؛ الأمر لتثبيته نظام واسع
ما هو الجديد في هذا الإصدار:.
إضافة دعم python3 لlibaudit
تحذيرات تنظيف automake
إضافة AuParser_search_add_timestamp_item_ex لربط الثعبان
إضافة AuParser_get_type_name لربط الثعبان
معالجة الصحيح من obj_gid في auditctl (الكسندر Zdyb)
جعل ملف التكوين المساعد تحليل أكثر قوة لخطوط طويلة (# 1235457)
جعل الوضع auditctl طباعة الحقل فقدت عددا غير موقعة على النحو
إضافة وضع تفسير لauditctl -s
إضافة دعم python3 إلى auparse مكتبة
جعل --enable-المنطقة العازلة-البعيد خيار التكوين وقت الإنشاء (كلايتون Shotwell)
تحديثات عبر تجميع (كلايتون Shotwell)
إضافة MAC_CHECK التدقيق نوع الحدث
إضافة ملف pkgconfig libauparse (الكسندر Zdyb)
ما هو الجديد في الإصدار 2.4.1:
تقديم الدعم python3 أسهل
إضافة دعم لppc64le (توني جونز)
إضافة بعض الترجمات لA1 من استدعاءات النظام IOCTL
إضافة التقارير القيادة والتمثيل الافتراضي لaureport
تحديث aureport تقرير التكوين عن أحداث جديدة
إضافة حساب تقريرا موجزا تعديل aureport
إضافة أنواع الأحداث GRP_MGMT وGRP_CHAUTHTOK
تقارير تغيير حساب aureport صحيحة
إضافة تقرير حدث سلامة لaureport
إضافة التكوين تقرير موجز تغيير aureport
ضبط بعض إعدادات مستوى syslogging في audispd
تحسين تحليل الأداء في كل شيء
عندما النواتج ausearch خط، استخدم القيم تحليل سابقا (حرق Alting)
تحسين البحث وتفسير الجماعات في الأحداث
تفسير كامل مجال proctitle في auparse
libaudit الصحيح والدعم auditctl لميزات النواة
إضافة دعم لوضع backlog_time_wait عبر auditctl
الجداول التحديث syscall للنواة 3.18
تجاهل فشل DNS من أجل التحقق من البريد الإلكتروني في auditd (# 1138674)
يسمح تناوب كما عمل لspace_left وdisk_full في auditd.conf
الصحيح تقرير موجز تسجيل الدخول من aureport
يمكن syscalls Auditctl تكون مفصولة بفواصل القائمة الآن
قواعد التحديث لأنظمة فرعية وقدرات جديدة
ما هو الجديد في الإصدار 2.3.2:
ضع RefuseManualStop في قسم systemd الأيمن (# 969345)
إضافة إرث إعادة تشغيل البرامج النصية من أجل دعم systemd
إضافة المزيد من syscall التفسيرات الحجة
إضافة الكلمة "ضبطه" للقيم المرن ودائرة المخابرات العامة في auditctl
في ausearch، تحليل الكائنات في سجلات IPC
في ausearch، تحليل subj في سجلات DAEMON_ROTATE
إصلاح تفسير MQ_OPEN وMQ_NOTIFY الأحداث
في auditd، إعادة تشغيل المرسل على SIGHUP لو خرجت سابقا
في audispd، الخروج عندما يتم الكشف عن أي ملحقات نشطة على إعادة تكوين
في audispd، قناع إشارة واضحة تحدد من قبل libev بحيث SIGHUP يعمل مرة أخرى
في audispd، وتتبع الإضافات الثنائية وإعادة إذا تم تحديث ثنائي
في audispd، تأكد نرسل إشارات إلى عملية صحيحة
في auditd، قناع إشارة واضحة عند وضع البيض أي عملية طفل
في audispd، وجعل الإضافات مدمج تستجيب لSIGHUP
في auparse، تفسير الأعلام طريقة syscall مفتوح إذا تم تمرير O_CREAT
في audisp-جهاز التحكم عن بعد، لا تجعل عنوان البحث دائما الفشل الدائم
في audisp-جهاز التحكم عن بعد، وإزالة الأحداث EOE أكثر كفاءة
في auditd، تسجيل السبب عند حساب بريد إلكتروني غير صالح
في audisp-جهاز التحكم عن بعد، والعمل remote_ending تغيير الافتراضي لإعادة الاتصال
إضافة دعم لمعالجات Aarch64
ما هو الجديد في الإصدار 2.2.1:
إضافة المزيد من التفسيرات في auparse لمعلمات syscall
إضافة بعض التفسيرات لausearch لمعلمات syscall
في ausearch / تقرير وauparse، وتخصيص مساحة إضافية لأسماء العقدة
الجداول التحديث syscall للنواة 3.3.0
تحديث libev إلى 4.0.4
تقليل حجم بعض التطبيقات
في auditctl، التحقق من الاستخدام ضد euid بدلا من رمز المستخدم
ما هو الجديد في الإصدار 2.1.1:
عند ausearch وinterpretting، خرج ومثل، كما هو ومثل؛ إذا لم يتم العثور =
الإعداد مأخذ الصحيح في التسجيل عن بعد
تعديل إعدادات افتراضية الزوجين للتسجيل عن بعد والنصي التهيئة
وAudispd ليس بمناسبة الإضافات إعادة تشغيل نشط
Audisp-جهاز التحكم عن بعد يجب الحفاظ على القدرة إذا local_port العلامة & lt؛ 1024
عند إعادة تشغيل audispd المساعد، وإرسال الحدث في الشكل المفضل ل
في audisp-جهاز التحكم عن بعد، وجعل كل I / O غير المتزامن
في audisp-جهاز التحكم عن بعد، إضافة معالج sigusr1 تفريغ الدولة الداخلية
إصلاح autrace استخدام syscalls الصحيحة على أنظمة S390 وs390x
إضافة اغلاق syscall إلى teardowns تسجيل عن بعد
حكم autrace الصحيحة ل32 بت أنظمة
ما هو الجديد في الإصدار 2.1:
تحديث الصفحة auditctl الرجل للحقل الجديد على مرشح المستعمل
إصلاح عطل في aulast عندما auid هو أجنبي لنظام
قانون النظافة
إضافة مخزن ونموذج الأمام إلى audispd-جهاز التحكم عن بعد (ميريك Trmac)
الذاكرة الحرة على البدء فشلت في audisp-مقدمة
إصلاح تسرب الذاكرة في aureport
إصلاح تحليل مشكلة الدولة في libauparse
تحسين متانة وظائف ترميز حقل libaudit
الجداول التحديث القدرة
في auditd، وجعل فشل عمل التهيئة فحص متسقة
في auditd، والتحقق لا يتم تمرير ذلك NULL إلى safe_exec
في audisp-جهاز التحكم عن بعد، وoverflow_action بعدم وقفها إذا تم اختيار هذا الإجراء
تفسيرات التحديث للأحداث virt
تحسين بعيد تحذير قطع الأشجار ورسائل الخطأ
إضافة تفسيرات للأحداث netfilter
ما هو الجديد في الإصدار 2.0.6:
تحسينات في الأداء ausearch / تقرير
مزامنة كافة قواعد عينة syscall لاستخدام العمل، قائمة
إذا قدم اسم البرنامج إلى audit_log_acct_message، الخروج منه
إصلاح الصفحة الرجل المناسب لهذه الوظيفة audit_encode_nv_string (# 647131)
إذا كانت القيمة فارغة، لا segfault (# 647128)
إصلاح الحدث بسيط تحليل لعدم تحمل معرف جلسة لا يمكن أن يكون الأخير (بنغ هايتاو)
إضافة دعم جديد التدقيق mmap نوع الحدث
إضافة القدرة على audispd سيسلوغ المساعد لاختيار local0-7 منشأة (# 593340)
إصلاح autrace استخدام syscalls الصحيحة على أنظمة I386 (بنغ هايتاو)
عند بدء التشغيل وreconfig، تحقق من وجود سجلات الزائدة وإلغاء ربطها
إضافة إلى اثنين في عداد المفقودين رسائل محلل التصحيح
إصلاح الخطأ الناتج حل عنوان رقمي وتحديث الصفحة رجل
إضافة أنواع الأحداث netfilter
تصحيح الخطأ الإملائي في audit.rules الصفحة الرجل (# 667845)
تحسين التحذير في auditctl بشأن وضع غير قابل للتغيير (# 654883)
الجداول التحديث syscall للنواة 2.6.37
في ausearch، تسمح بالبحث عن auid -1
إضافة إلى طابور overflow_action audisp-جهاز التحكم عن بعد للسيطرة على الفيضانات قائمة الانتظار
قواعد التحديث عينة لsyscalls وحزم جديدة
ما هو الجديد في الإصدار 2.0.5:
وقبل بضعة إصلاحات قدمت لأنظمة 32 بت عند استخدام حقل inode في القواعد.
وقدمت تحديثات جدول Syscall لحبات الأخيرة.
تمت إضافة أحداث جديدة لبدء خدمة / إيقاف والافتراضية.
تم إصلاح التعامل مع تجاهل التوجيه في auditctl.
ما هو الجديد في الإصدار 2.0.3:
وقد أجريت العديد من fixups التسجيل عن بعد، بما في ذلك مشكلة أمنية محتملة إذا تم تمكين GSSAPI.
ما هو الجديد في الإصدار 2.0.1: تم إصلاح
getloginuid لتثبيت بيثون.
تم تعطيل البرنامج المساعد audispd af_unix افتراضيا.
تم إصلاح الخلل في التسجيل عن بعد.
تم تحديث البرنامج النصي الحرف الأول.
الصفحة رجل تم تحديث.
لم يتم العثور على التعليقات