GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Linux-Betriebssystemdienst „auditd“

Dienstname

auditd

Beschreibung

auditd ist die Userspace-Komponente des Linux Auditing Systems. Es ist für das Schreiben von Audit-Aufzeichnungen auf die Festplatte verantwortlich. Das Anzeigen der Protokolle erfolgt mit ausearch oder Aubericht Dienstprogramme. Die Konfiguration der Audit-Regeln erfolgt mit auditctl Dienstprogramm. Beim Start gelten die Regeln in /etc/audit.rules werden von auditctl gelesen. Der Audit-Daemon selbst hat einige Konfigurationsoptionen, die der Administrator möglicherweise anpassen möchte. Sie befinden sich in der Datei auditd.conf.

Das Linux Auditing System bietet eine Kernel-residente Protokollierung von Systemaufrufen und User-Space-Tools zum Sammeln und Anzeigen der Protokolle. Der Auditd-Daemon schreibt die Protokolldatensätze auf die Festplatte. auditd ist konfigurierbar, um die Kontrolle darüber zu ermöglichen, welche Informationen in die Protokolle geschrieben werden.

Warum sollten Sie auditd am Laufen halten?

Die Informationen im Protokoll können sich beim Debuggen sicherheitsbezogener Probleme als nützlich erweisen. Beispielsweise wird auditd verwendet, um SELinux-Ereignisse zu protokollieren. Es gibt auch Dienstprogramme wie aureport, mit denen Sie das Überwachungsprotokoll anzeigen können.

Dienstdetail

Speicherort des Init.d-Skripts 

/etc/init.d/auditd

chkconfig-Ausgabebeispiel 

# chkconfig --list auditd
auditd          0:off   1:off   2:on    3:on    4:on    5:on    6:off

Verfügbare Dienstnutzungsoptionen 

# service auditd
Usage: /etc/init.d/auditd {start|stop|status|restart|condrestart|reload|rotate}

So starten Sie den Dienst:

# service auditd start
Starting auditd:                                           [  OK  ]

So beenden Sie den Dienst:

# service auditd stop
Stopping auditd:                                           [  OK  ]

So überprüfen Sie den Status des Dienstes:

# service auditd status
auditd (pid 8951) is running...

So starten Sie den Dienst neu:

# service auditd restart
Stopping auditd:                                           [  OK  ]
Starting auditd:                                           [  OK  ]

Bedingter Neustart des Dienstes :

# service auditd condrestart
Stopping auditd:                                           [  OK  ]
Starting auditd:                                           [  OK  ]

So laden Sie den Dienst neu:

# service auditd reload
Reloading configuration:                                   [  OK  ]

So rotieren Sie die Protokolle:

# service auditd rotate
Rotating logs:                                             [  OK

Welche Daemons werden ausgeführt 

/sbin/auditd

Welche Module werden geladen 

audit-libs
audit-libs-python

Sonstige Informationen

RPM-Pakete 

audit-[version]-[release]
audit-libs-[version]-[release]
audit-libs-python-[version]-[release]

Konfigurationsdateien 

/etc/audit/audit.rules - audit rules to be loaded at startup
/etc/audit/auditd.conf - configuration file for audit daemon
/etc/sysconfig/auditd  - additional configuration file


Linux

  1. Linux-Betriebssystemdienst „dhcpd“

  2. Linux-Betriebssystemdienst „anacron“

  3. Linux-Betriebssystemdienst „NetFS“

  4. Linux-Betriebssystemdienst „ldap“

  5. Linux-Betriebssystemdienst „yppasswdd“

Linux-Betriebssystemdienst „hplip“

Linux-Betriebssystemdienst „smartd“

Linux-Betriebssystemdienst „irqbalance“

Linux-Betriebssystemdienst „rpcgssd“

Linux-Betriebssystemdienst „yum-updatesd“

Linux-Betriebssystemdienst „acpid“