監査デーモン(auditdの)オープンソース、自由と非対話型のデーモン、Linuxカーネルベースのオペレーティングシステム上の監査ルールを作成するために必要なユーザスペースツールを提供するコマンドラインプログラムです。
限られたスタンドアロンの監査フレームワークとして動作します
のソフトウェアはまた、検索し、Linuxカーネル2.6以降で監査サブシステムによって生成された監査レコードを格納するために使用することができます。それはあなたのGNU / Linuxディストリビューションに限定されたスタンドアロンの監査フレームワークとして機能します。
Linuxの監査フレームワーク
また、Linuxの監査フレームワークとして知られ、監査デーモンプロジェクトは当初、SELinuxのようなプロジェクトが提供する既存の機能を踏んずにシステムコールの監査を提供するために作成されました。
どのようにプログラムが動作します
プログラムは、audit_controlファイルに指定されたフォルダ内で検索された監査ログ・ファイルを開いて閉じることができます。それは彼らがそのファイルに指定し、カーネルからのみ監査データを読み出しているために、すべてのファイルがかかります。そして、監査ログ・ファイルにそのデータを書き込みます。
加えて、それぞれの監査フォルダがaudit_controlファイルで書かれた指定された制限を超えて記入する際は、audit_warnというスクリプトを実行します。監査デーモンは、コンソールとaudit_warnメールの別名に警告を送信します。
監査デーモンをインストールします
ソースパッケージを使用して、GNU / Linuxオペレーティングシステム上で監査デーモンをインストールするには、まずその公式サイトからダウンロードする必要があります(記事の最後にホームページのリンクを参照してください)、あなたのホームにアーカイブを保存ディレクトリ、およびアーカイブ管理ツールを使用して、それを解凍します。
CD’
端末エミュレータでは、&lsquoを使用して抽出されたアーカイブファイルの場所に移動します。コマンド(例:cd /home/softoware/audit-2.4.1)、&lsquoを実行します。./設定&&作る’ sudoはインストール&rsquo作る;&lsquo実行し、プログラムを設定し、コンパイルするためのコマンド。 。システム全体のそれをインストールするコマンド
このリリースの新機能:
このlibauditためのpython3のサポートを追加
クリーンアップautomakeに警告
PythonバインディングにAuParser_search_add_timestamp_item_exを追加
PythonバインディングにAuParser_get_type_nameを追加
auditctlでobj_gidの正しい処理(アレクサンダーZdyb)
プラグイン設定ファイル長い行のためのより強固な構文解析を行い(#1235457)
メイクauditctlステータスプリント失わフィールドとして符号なし数
auditctlの-sのための解釈モードを追加
auparseライブラリにのpython3のサポートを追加
メイク--enable-ZOS-リモートビルド時の構成オプション(クレイトンショットウェル)
クロスコンパイルのアップデート(クレイトンショットウェル)
MAC_CHECK監査イベントのタイプを追加します
libauparse pkgconfigファイルを追加します(アレクサンダーZdyb)
こののpython3のサポートが簡単に作成します。
バージョン2.4.1の新機能であります
ppc64leのサポートを追加します(トニー・ジョーンズ)
ioctlシステムコールのA1のためのいくつかの翻訳を追加
aureportにコマンド&仮想化のレポートを追加します。
新しいイベントのaureport設定レポートを更新
アカウントの変更の要約レポートにはaureportに追加
GRP_MGMTとGRP_CHAUTHTOKイベントタイプを追加します。
正しいaureportアカウント変更レポート
aureportするインテグリティイベントレポートを追加します。
aureportする設定変更の要約レポートを追加します。
audispdの一部のsysloggingレベルの設定を調整します
すべての解析でパフォーマンスを向上させます
ausearchがラインを出力すると、以前に解析された値が(Altingバーン)を使用
イベントでグループを検索し、解釈改善
完全auparseでproctitleフィールドを解釈します
カーネルの機能の正しいlibauditとauditctlサポート
auditctl経由backlog_time_wait設定のサポートを追加
3.18カーネルのシステムコールテーブルを更新します
(#1138674)は、auditdにメール検証のためのDNS障害を無視します
auditd.confでspace_leftとdisk_fullのアクションとして回転を許可します
aureportの正しいログインサマリレポート
Auditctlシステムコールは現在、カンマ区切りのリストを指定できます
新しいサブシステムや機能の更新ルール
このバージョン2.3.2の新機能:
この右側にsystemdセクションでRefuseManualStopを入れて(#969345)
systemdにサポートするために、従来の再起動スクリプトを追加します。
より多くのシステムコールの引数の解釈を追加
auditctlでのuid&gidの値のための「未設定」のキーワードを追加
ausearchでは、IPCレコードにOBJを解析
ausearchで、DAEMON_ROTATEレコードにSUBJを解析
MQ_OPENとMQ_NOTIFYイベントの解釈を修正しました。
それは以前に終了した場合は、auditdでは、SIGHUPのディスパッチャを再起動します
audispdで、終了時にアクティブなプラグインが再構成に検出されません
SIGHUPが再び動作するようにaudispdでは、明確なシグナルマスクはlibevによって設定
audispdでは、バイナリのプラグインを追跡し、バイナリが更新された場合、再起動
audispdでは、必ず私たちは正しいプロセスにシグナルを送る作ります
auditdは、明確なシグナルマスク内のいずれかの子プロセスを生成するとき
audispdでは、組み込みのプラグインがSIGHUPに応答作ります
O_CREATが渡された場合auparseでは、オープンシステムコールのモードフラグを解釈します
audispリモートでは、永久故障常にアドレスルックアップをしません
audispリモートで、より効率的にEOEのイベントを削除
電子メールアカウントが有効でない場合は、auditdで、その理由を記録
再接続するための行動をremote_ending audisp、リモート、変更デフォルトで
Aarch64プロセッサのサポートを追加します。
このシステムコールのパラメータについてauparseでより多くの解釈を追加します。
バージョン2.2.1の新機能であります
システムコールのパラメータについてausearchするために、いくつかの解釈を追加
ausearch /レポートとauparseでは、ノード名のための余分なスペースを割り当てます
3.3.0カーネルのシステムコールテーブルを更新します
4.0.4へのアップデートlibev
いくつかのアプリケーションのサイズを縮小
auditctlでは、UIDのではなく、実効ユーザIDに対して使用状況をチェック
このバージョン2.1.1の新機能です:
このausearchがinterprettingされ、出力"ある&QUOTとして、何も=が見つからない場合
リモートログで正しいソケットのセットアップ
リモートロギングとinitスクリプトの調整カップルのデフォルト設定
Audispdはアクティブとして再起動プラグインをマーキングされませんでした
LOCAL_PORT&LT場合性能を維持する必要がありAudisp、リモート; 1024
audispdはプラグインを再起動すると、その好ましい形式でイベントを送信
audispリモートで、すべてのI / Oを非同期にします
audispリモートでは、内部状態をダンプするSIGUSR1ハンドラを追加
S390とs390xシステム上の正しいシステムコールを使用するautraceを修正
リモートロギングティアダウンにシャットダウンシステムコールを追加します。
32ビットシステム用の正しいautraceルール
このバージョン2.1の新機能です:
このユーザフィルタに新しいフィールドのauditctlのmanページを更新します
AUIDは、システムに対して外来性であるときaulastでクラッシュを修正しました。
コードのクリーンアップ
(ミレックTRMAC)audispdリモートするストアアンドフォワードモデルを追加
audisp-プレリュードで失敗したスタートアップの空きメモリ
aureportでのメモリリークを修正しました。
libauparseで構文解析状態の問題を修正しました
libauditフィールド符号化機能の堅牢性を向上させます
更新機能テーブル
auditdのでは、一貫性のチェックの障害アクションの設定をします
auditdのでは、そのNULLがsafe_execに渡されていない確認してください
そのアクションを選択した場合はaudispリモートで、overflow_actionは一時停止されませんでした
virtイベントの解釈を更新
リモートロギングの警告やエラーメッセージを改善
netfilterのイベントの解釈を追加
このバージョン2.0.6の新機能です:
このausearch /レポートのパフォーマンスの向上
アクションを使用するために、すべてのサンプルのシステムコールのルールを同期、リスト
プログラム名がaudit_log_acct_messageするために設けられている場合は、それをエスケープ
audit_encode_nv_string関数のmanページを修正しました。(#647131)
値がNULLの場合、セグメンテーションフォールトはありません(#647128)
最後にすることはできませんセッションIDを前提としないように解析するシンプルなイベントを修正しました。(鵬シンセン)
新しいのmmap監査イベント・タイプのサポートを追加
施設local0-7を選択するaudispdのsyslogプラグイン(#593340)のための機能を追加
i386のシステム上の正しいシステムコールを使用するautraceを修正しました。(鵬シンセン)
起動と再構成では、過剰なログをチェックし、それらを解除
パーサーデバッグメッセージを欠落しているカップルを追加
数値アドレスの解決エラー出力を修正し、manページを更新
netfilterのイベントタイプを追加します。
audit.rules manページ(#667845)にスペルエラーを修正
不変モードに関するauditctlに警告を改良しました。(#654883)
2.6.37カーネルのシステムコールテーブルを更新します
ausearchでは、AUIDの検索を可能にする-1
キューのオーバーフローを制御するために、リモートをaudispするキューoverflow_actionを追加
新しいシステムコールやパッケージのサンプルルールを更新
このバージョン2.0.5の新機能です:
このルールでiノードのフィールドを使用した場合、32ビットシステムのために作られた修正のカップル。
システムコールテーブルの更新は、最近のカーネルのために作られました。
新しいイベントは、サービスの開始/停止や仮想化のために追加されました。
auditctlで無視するディレクティブの扱いを修正しました。
このバージョン2.0.3の新機能です:
この多くのリモートロギングフィックスアップは、GSSAPIが有効になっていた場合、潜在的なセキュリティ上の問題を含め、行われました。
このバージョン2.0.1の新機能です:
このgetloginuidは、Pythonバインディングのために修正されました。
audispdのAF_UNIXプラグインは、デフォルトでは無効になっていました。
リモートロギングのバグが修正されました。
initスクリプトを更新しました。
manページを更新しました。
コメントが見つかりません