audit daemon

auditas demonas (auditd) yra atviro kodo, nemokamai ir ne interaktyvus demonas, komandinės eilutės programa, kuri suteikia būtinų vartotojas erdvės kūrimo įrankius audito taisykles Linux Kernel pagrindu operacinių sistemų.

įranga taip pat gali būti naudojami paieškai ir saugoti audito įrašus, kurie buvo generuojamus audito posistemio branduolio Linux 2,6 arba vėliau. Jis veikia kaip ribotos atskirą audito sistemą jūsų GNU / Linux distribucija.

Taip pat žinomas kaip "Linux" audito programą, audito demonas projektas iš pradžių buvo sukurta siekiant suteikti sistema skambučio audito be žengia į esamą funkcionalumą pateikta projektų kaip SELinux.

Ši programa gali atidaryti ir uždaryti audito žurnalo failų, kurie yra rasti aplankuose nurodytų audit_control failą. Tai užtruks visas tvarka jie yra nurodyti šio failo ir rašoma tik audito duomenis iš branduolio failus. Tada jis rašo, kad duomenis į audito žurnalo failą.

Be to, ji vykdo scenarijų, pavadintą audit_warn kai atitinkami audito aplankai užpildyti pro nustatytų ribų parašyta audit_control failą. audito Demonas bus tada siųsti įspėjimus konsolės ir į audit_warn pašto alias.

Jei norite įdiegti audito tarnybą apie jūsų GNU / Linux operacinė sistema, naudojant šaltinio paketą, turėsite pirmiausia jį atsisiųsti iš savo oficialioje interneto svetainėje (žr puslapiu nuorodą rasite šio straipsnio pabaigoje), išskyrus archyvą į jūsų namams katalogas ir išpakuokite jį naudojant archyvo vadybininkas įrankis.

terminalo emuliatorius, pereikite prie išgautų archyvas failų vietą naudojant & lsquo; & rsquo cd; komandą (pavyzdžiui, CD /home/softoware/audit-2.4.1), paleisti & lsquo; ./ Konfigūruoti && padaryti & rsquo; komanda konfigūruoti ir sudaryti programą, paleiskite & lsquo; sudo make install & rsquo; komanda jį įdiegti visos sistemos

Kas naujo , šioje laidoje.

• Pridėti python3 parama libaudit
• valymas Automake įspėjimai
• Pridėti AuParser_search_add_timestamp_item_ex su python apkaustais;
• Pridėti AuParser_get_type_name su python apkaustais;
• Teisingas apdorojimas obj_gid į auditctl (Aleksander Zdyb)
• Padaryti įskiepiai config failą apdorojant labiau patikimas ilgą linijų (# 1235457)
• Padaryti auditctl statusas Spausdinti prarado srityje nepasirašytos skaičius;
• Pridėti žodžiu režimą auditctl -S
• Pridėti python3 paramą auparse biblioteka
• Padaryti enable-ZOS-nuotolinio A Sudėjimas laikas konfigūracijos parinktį (Clayton Shotwell)
• Atnaujinimai kryžminio kompiliuojant (Clayton Shotwell)
• Pridėti MAC_CHECK audito Įvykio tipas
• Pridėti libauparse pkgconfig failą (Aleksander Zdyb)

Kas naujo versijos 2.4.1:

• Padaryti python3 parama lengviau
• Pridėti paramą ppc64le (Tonis Jones)
• Pridėti keletą vertimus A1 ioctl sistemos ragina
• Pridėti Command & virtualizacijos ataskaitas aureport
• Atnaujinti aureport config ataskaita naujus įvykius,
• Pridėti sąskaitos pakeitimo apibendrinamąją ataskaitą aureport
• įdėti GRP_MGMT ir GRP_CHAUTHTOK renginių tipai;
• Teisingas aureport sąskaitos, ataskaitos,
• Pridėti vientisumui ataskaitą aureport
• Pridėti config Pakeisti apibendrinamąją ataskaitą aureport
• Nustatyti kai sysloga lygio nustatymus audispd
• Pagerinti apdorojant rezultatus viską
• Kai ausearch išveda eilutę, naudokite anksčiau išnagrinėtą vertės (Burn Altingas)
• Pagerinti paieškos ir žodžiu grupes renginiuose;
• Pilnai interpretuoti proctitle lauką auparse
• Teisingas libaudit ir auditctl parama branduolio savybes,
• Pridėti paramą backlog_time_wait aplinkoje per auditctl
• Atnaujinti syscall lentelėse 3.18 branduolio
• Ignoruoti DNS nesėkmės pašto patvirtinimą iš auditd (# 1138674)
• Leisti keisis veiksmų space_left ir disk_full į auditd.conf
• Teisingas Vartotojas suvestinė ataskaita aureport
• Auditctl syscalls gali būti atskirtos kableliais sąrašą dabar
• Atnaujinti taisyklės naujų posistemių ir galimybes;

Kas naujo versijos 2.3.2:

• Įdėkite RefuseManualStop teisinga systemd skyriuje (# 969345 )
• Pridėti palikimas RESTART scenarijus systemd paramos
• PridÄ syscall argumentas interpretacijos
• Pridėti "išjungta" raktažodį UID GID & vertybių auditctl
• Be ausearch, išanalizuoti OBJ į TPK įrašų
• Be ausearch, išanalizuoti SUBJ į DAEMON_ROTATE įrašų
• Nustatyti interpretacija MQ_OPEN ir MQ_NOTIFY įvykius,
• Be auditd, perkrauti siuntėjas ant SIGHUP jei jis anksčiau išėjo
• Be audispd, išeiti, kai nėra aktyvių įskiepių aptikta reconfigure
• Be audispd, aiškus signalas kaukę libev nustatyti taip, kad SIGHUP vėl veikia;
• Be audispd, sekti dvejetainius įskiepių ir iš naujo, jei dvejetainis buvo atnaujintas;
• Be audispd, įsitikinkite, kad mes siunčiame signalus į teisingą procesą
• Be auditd, aiškus signalas kaukė, kai neršiančių jokios vaikų procesą;
• In audispd, kad builtin įskiepių reaguoti į SIGHUP
• Be auparse, interpretuoti režimas vėliavas atviros syscall jei O_CREAT praėjo
• Be audisp Nuotolinio valdymo pultelis, nereikia atlikti Address Lookup visada nuolatinis nesugebėjimas
• Be audisp Nuotolinio valdymo pultelis, efektyviau pašalinti EOE renginius;
• Be auditd, prisijunkite priežastį, kai elektroninio pašto sąskaita negalioja
• Be audisp Nuotolinio valdymo pultelis, keisti numatytąjį remote_ending veiksmų iš naujo
• Pridėti paramą Aarch64 procesorių,

Kas naujo versijos 2.2.1:

• Pridėti daugiau interpretacijomis auparse už syscall parametrų
• Pridėti keletą interpretacijų, kad ausearch už syscall parametrų
• Be ausearch / ataskaitos ir auparse, skirti papildomą erdvę mazgas pavadinimų
• Atnaujinti syscall lentelių 3.3.0 branduolio
• Atnaujinti libev į 4.0.4
• sumažinti kai kurių programų dydį;
• Be auditctl, patikrinkite naudojimas prieš euid o ne uid

Kas naujo versijos 2.1.1:

• Kai ausearch yra interpretting, išvesties & quot; kaip & quot ; jei ne = randamas
• Teisingas lizdas setup nuotolinio ruošos
• Koreguota pora numatytieji nustatymai nuotolinio medienos ruoša ir paleidimo scenarijaus
• Audispd nebuvo žymėjimo naujo įskiepių, kaip aktyvus
• Audisp Nuotolinio valdymo pultelis turi išlaikyti pajėgumus, jei local_port & lt; 1024
• Kai audispd paleidžiamas įskiepiai, siųsti renginį savo pageidaujamą formatą
• Be audisp Nuotolinio valdymo pultelis, kad visi I / O asinchroninis
• Be audisp Nuotolinio valdymo pultelis, pridėti sigusr1 prižiūrėtojas iškelties valstybės vidaus
• Nustatyti autrace naudoti teisingus syscalls ant S390 ir s390x sistemų
• Pridėti išjungimo syscall atokiose kirtimo teardowns
• Teisingas autrace taisyklė 32 bitų sistemų

Kas naujo 2.1 versija:

• Atnaujinti auditctl vyras puslapis naują srityje dėl Viskas filtru
• Nustatyti katastrofos aulast kai auid svetimas sistemos
• Kodo patvarkymai
• Pridėti saugoti ir persiųsti modelis audispd Nuotolinio valdymo pultelis (Mirek Trmac)
• Laisva atmintis apie nepavykusius pradedantiesiems į audisp-preliudija
• Nustatyti atminties nutekėjimas aureport
• Nustatyti apdorojant valstybės problema libauparse
• Gerinti libaudit laukas kodavimo funkcijas tvirtumą "
• Atnaujinti pajėgumų stalai
• Be auditd, kad gedimas veiksmų config tikrinant nuoseklų
• Be auditd, patikrinkite, kad NULL yra nėra perduota safe_exec
• Be audisp Nuotolinio valdymo pultelis, overflow_action nebuvo sustabdymo, jei buvo pasirinktas šis ieškinys
• Atnaujinti aiškinimus virt įvykius,
• Pagerinti nuotolinio įspėjimą medienos ruoša ir klaidų pranešimus,
• Pridėti aiškinimus netfilter įvykius,

Kas naujo versijos 2.0.6:

• ausearch / ataskaita efektyvumu;
• Sinchronizuoti visas mėginys syscall taisykles naudoti veiksmų, sąrašas,
• Jei programos pavadinimas teikiama audit_log_acct_message, pabėgti jį
• Nustatyti vyras puslapis už audit_encode_nv_string funkcija (# 647131)
• Jei reikšmė yra NULL, nereikia segfault (# 647128)
• Nustatyti paprastą įvykį apdorojant kad nėra teisiškai Session ID negali būti paskutinis (Peng Haitao)
• Pridėti paramą naujos mmap auditą tipą
• Pridėti gebėjimą už audispd syslog įskiepiai pasirinkti įrenginys local0-7 (# 593340)
• Nustatyti autrace naudoti teisingus syscalls i386 sistemų (Peng Haitao)
• paleidžiant ir reconfig, patikrinkite, ar perteklius rąstų ir atsieti juos
• Pridėti pora trūksta analizatorius debug pranešimai
• Nustatyti klaida produkcijos sprendžiant skaitmeninis adresas ir atnaujinti vyro puslapį
• Pridėti netfilter renginių tipai;
• Nustatyti Pažymėkite rašybos klaidą audit.rules žinyno puslapyje (# 667845)
• Pagerinti įspėjimą auditctl apie nekintamas režimu (# 654883)
• Atnaujinti syscall lentelėse 2.6.37 branduolio
• Be ausearch leidžia ieškoti auid -1
• Pridėti eilės overflow_action į audisp Nuotolinio valdymo pultelis kontroliuoti eilėje perpildyti
• Atnaujinti pavyzdžių taisyklės naujus syscalls ir paketai

Kas naujo versijos 2.0.5:

• pataisymai pora buvo numatyti 32 bitų sistemos Naudodami inode lauką taisykles.
• syscall stalo atnaujinimai buvo atlikti neseniai branduoliai.
• Nauji įvykiai buvo pridėta paslaugų įjungimo / išjungimo ir virtualizacijos.
• buvo nustatyta, kad ignoruoti direktyvos auditctl tvarkymas.

Kas naujo versijos 2.0.3:

• Daugelis nuotolinio ruoša fixups buvo padaryta, įskaitant potencialo saugumo problema, jei GSSAPI buvo įjungta.

Kas naujo versijos 2.0.1.

• getloginuid buvo nustatyta Python apkaustais;
• audispd af_unix įskiepiai buvo išjungta.
• buvo nustatyta nuotolinio ruošos klaidą.
• pirminio paleidimo scenarijus buvo atnaujintas.
• vyras puslapis buvo atnaujintas.