Linux Audit 的使用规则（可以把这些规则加入到audit.rules里面）

published: 2021-02-16 updated: 2021-02-17 Linux 技巧(原创)

1。可以针对关键文件进行审计。比如：

-w /etc/passwd -p wa -k passwd
-w /etc/shadow -p wa -k shadow
-w /etc/ssh/sshd_config -p wa -k sshd
-w /etc/ssh/ssh_config -p wa -k ssh
-w /etc/crontab -p wa -k crontab
-w /etc/hosts -p wa -k hosts
-w /etc/hosts.allow -p wa -k hosts-allow
-w /etc/hosts.deny -p wa -k hosts-deny

2。可以针对用户命令进行审计。比如：

1 2	-a exit,always -F arch=b64 -S execve -k exec -a exit,always -F arch=b32 -S execve -k exec

3。可以针对特定的系统调用进行审计。比如：

-a exit,always -F arch=b32 -S kill -k kill_rule
-a exit,always -F arch=b64 -S kill -k kill_rule
-a exit,always -F arch=b32 -S settimeofday -k time_rule
-a exit,always -F arch=b64 -S settimeofday -k time_rule
-a exit,always -F arch=b32 -S clock_settime -k time_rule
-a exit,always -F arch=b64 -S clock_settime -k time_rule

4 关于logs，为了防止由于大量的自动脚本运行产生的审计日志频繁flush到磁盘，导致磁盘使用率过高（特别是没有cache直接落盘的RAID卡）。如果出现此类情况，可以修改flush模式为NONE。可以通过编辑audit配置文件/etc/audit/auditd.conf进行配置，修改如下选项：

1	flush = NONE

本文链接： http://www.ackdo.com/2021/02/16/linux_ackdo_audit_simple_rules/

版权声明： 本博客所有文章除特别声明外，均采用 CC BY 4.0 CN协议许可协议。转载请注明出处！

AckDo by Sam Lee

Linux Audit 的使用规则（可以把这些规则加入到audit.rules里面）

1。可以针对关键文件进行审计。比如：

2。可以针对用户命令进行审计。比如：

3。可以针对特定的系统调用进行审计。比如：

AckDo by Sam Lee

Linux Audit 的使用规则 （可以把这些规则加入到audit.rules里面）

1。 可以针对关键文件进行审计。比如：

2。 可以针对用户命令进行审计。比如：

3。 可以针对特定的系统调用进行审计。比如：

AckDo by Sam Lee

Linux Audit 的使用规则（可以把这些规则加入到audit.rules里面）

1。可以针对关键文件进行审计。比如：

2。可以针对用户命令进行审计。比如：

3。可以针对特定的系统调用进行审计。比如：