audit daemon

daemon de auditoria (auditd) é uma fonte aberta, livre e não-interativo daemon, um programa de linha de comando que fornece as ferramentas do espaço do usuário necessárias para a criação de regras de auditoria em sistemas operacionais baseados em Linux kernel.

O software também pode ser utilizada para pesquisar e armazenar os registos de auditoria que foram gerados pelo subsistema de auditoria em kernel 2.6 ou posterior. Ele funciona como uma estrutura de auditoria independente limitado sobre sua distribuição GNU / Linux.

Também conhecida como a Auditoria Framework Linux, o projeto de auditoria daemon foi inicialmente criado para fornecer auditoria chamada de sistema sem pisar na funcionalidade existente fornecido por projetos como o SELinux.

O programa pode abrir e fechar arquivos de log de auditoria que são encontrar nas pastas especificados no arquivo audit_control. Vai levar todos os arquivos na ordem em que são especificados neste arquivo e lê apenas os dados de auditoria do kernel. Em seguida, ele grava os dados para um arquivo de log de auditoria.

Além disso, ele executa um script chamado audit_warn quando as respectivas pastas de auditoria preencher passado dos limites especificados escritas no arquivo audit_control. auditoria daemon, então, enviar alertas para o console e para o alias de correio audit_warn.

Para instalar o daemon de auditoria no seu sistema operacional GNU / Linux usando o pacote fonte, você terá que primeiro fazer o download de seu site oficial (veja o link homepage no final do artigo), salve o arquivo em sua página diretório, e descompactá-lo usando uma ferramenta de gerenciamento de arquivo.

Em um emulador de terminal, navegue para a localização dos ficheiros de arquivo extraído usando o & lsquo; cd & rsquo; comando (por exemplo /home/softoware/audit-2.4.1 cd), execute o & lsquo; ./ configure && make & rsquo; comando para configurar e compilar o programa, em seguida, executar o & lsquo; sudo make install & rsquo; comando para instalá-lo em todo o sistema

O que é novo nesta versão:.

• Adicionar suporte python3 para libaudit
• advertências Cleanup automake
• Adicionar AuParser_search_add_timestamp_item_ex de vínculos python
• Adicionar AuParser_get_type_name de vínculos python
• processamento correto de obj_gid em auditctl (Aleksander Zdyb)
• Faça arquivo de configuração do plugin análise mais robusta para as linhas compridas (# 1235457)
• Faça campo perdido impressão estatuto auditctl número como não assinado
• Adicione o modo de interpretação para auditctl -s
• Adicionar suporte para python3 auparse biblioteca
• Faça uma opção de configuração tempo de compilação --enable-zos-remote (Clayton Shotwell)
• Atualizações para compilação cruzada (Clayton Shotwell)
• Adicionar MAC_CHECK tipo de evento de auditoria
• Adicionar arquivo pkgconfig libauparse (Aleksander Zdyb)

O que é novo na versão 2.4.1:

• Faça apoio python3 mais fácil
• Adicionar suporte para ppc64le (Tony Jones)
• Adicione algumas traduções para a1 do sistema ioctl chama
• Adicionar comando e virtualização relatórios para aureport
• relatório de atualização de configuração aureport para novos eventos
• Adicionar conta relatório de síntese modificação aureport
• Adicionar GRP_MGMT e GRP_CHAUTHTOK tipos de eventos

relatórios
• aureport correta mudanças conta
• Adicionar relatório de eventos de integridade para aureport
• Adicione configuração relatório de síntese mudança para aureport
• ajustar algumas configurações de nível syslogging em audispd
• Melhorar a análise de desempenho em tudo
• Quando ausearch envia uma linha, use os valores anteriormente analisadas (Queime Alting)
• Melhorar a busca e interpretação de grupos em eventos
• Totalmente interpretar o campo proctitle em auparse
• libaudit correta e apoio auditctl para recursos do kernel
• Adicionar suporte para configuração backlog_time_wait via auditctl
• Atualização tabelas syscall para o kernel 3.18
• Ignorar falha de DNS para validação de e-mail em auditd (# 1138674)
• Permitir rotação como ação para space_left e disk_full em auditd.conf
• Corrija relatório de síntese de login do aureport

syscalls
• auditctl pode ser lista separada por vírgula agora
• regras de atualização para os novos subsistemas e recursos

O que é novo na versão 2.3.2:

• Coloque RefuseManualStop na seção systemd direita (# 969345 )
• Adicione os scripts legado de reinício para o apoio systemd
• Adicione mais interpretações argumento syscall
• Adicionar palavra-chave 'unset' para valores uid & gid em auditctl
• Em ausearch, analisar obj nos registros IPC
• Em ausearch, analisar subj nos registros DAEMON_ROTATE
• Fix interpretação de eventos MQ_OPEN e MQ_NOTIFY
• Em auditd, reiniciar despachante em SIGHUP se ele já havia saído
• Em audispd, saída quando não há plugins ativos são detectados em reconfigure
• Em audispd, máscara sinal claro pelos libev para que SIGHUP funciona novamente
• Em audispd, acompanhar plugins binários e reiniciar se binária foi atualizado
• Em audispd, certifique-se que enviam sinais para o processo correto
• Em auditd, máscara sinal claro quando desova qualquer processo filho
• Na audispd, fazer plugins embutidas responder aos SIGHUP
• Em auparse, interpretar bandeiras do modo de syscall aberto se O_CREAT é passado
• Em audisp-remoto, não fazem pesquisa de endereços sempre uma falha permanente
• Em audisp-remoto, remova eventos EOE de forma mais eficiente
• Em auditd, ingresse a razão quando a conta de e-mail não é válido
• Em audisp-remoto, ação remote_ending mudança padrão para reconectar
• Adicionar suporte para processadores Aarch64

O que é novo na versão 2.2.1:

• Adicione mais interpretações em auparse para parâmetros syscall
• Adicione algumas interpretações para ausearch para parâmetros syscall
• Em ausearch / relatório e auparse, alocar espaço extra para nomes de nó
• Atualização tabelas syscall para o kernel 3.3.0
• Atualização libev para 4.0.4
• Reduzir o tamanho de alguns aplicativos
• Em auditctl, verificar o uso contra euid em vez de uid

O que é novo na versão 2.1.1:

• Quando ausearch é interpretting, saída de & quot; como é & quot ; se não = é encontrado
• Configuração soquete correto no registro remoto
• Ajustado as configurações de um casal padrão para o registro remoto e script de inicialização
• Audispd não estava marcando plugins reiniciado como ativo
• Audisp-remoto deve manter uma capacidade de se local_port & lt; 1024
• Quando audispd reinicia plugin, enviar evento em seu formato preferido
• Em audisp-remoto, fazer tudo o que eu / O assíncrona
• Em audisp-remoto, adicionar o manipulador de SIGUSR1 para despejar estado interno
• Fix autrace usar syscalls corretas em sistemas s390 e s390x
• Adicione o desligamento syscall para teardowns log remoto
• regra autrace correto para sistemas 32 bits

O que é novo na versão 2.1:

• Atualização página homem auditctl para novo campo no filtro de usuário
• Fix acidente em aulast quando AUID é estranho ao sistema
• Limpezas de código
• Adicione loja e modelo para a frente a audispd-remote (Mirek Trmac)
• Memória livre em startups falharam em audisp-prelúdio
• fuga de memória Fix em aureport
• Corrija analisar problema no estado libauparse
• Melhorar a robustez das funções de codificação campo libaudit
• tabelas de capacidade de atualização
• Em auditd, make config ação falha verificando consistente
• Em auditd, verifique se NULL não está sendo passado para safe_exec
• Em audisp-remoto, overflow_action não estava suspendendo se que a acção foi escolhido
• interpretações Atualizar para eventos virt
• Melhorar aviso log remoto e mensagens de erro
• Adicionar interpretações para eventos netfilter

O que é novo na versão 2.0.6:

melhorias
• ausearch / desempenho relatório
• Sincronizar todas as regras de exemplo para usar syscall ação, lista
• Se o nome do programa previsto para audit_log_acct_message, escapar dela
• A página homem Fix para a função audit_encode_nv_string (# 647131)
• Se o valor for NULL, não segfault (# 647128)
• Corrija evento simples análise para não assumir ID de sessão não pode ser o último (Peng Haitao)
• Adicionar suporte para o novo tipo de evento de auditoria mmap
• Adicione capacidade para audispd syslog plugin para escolher local0-7 facilidade (# 593340)
• Fix autrace usar syscalls corretas sobre sistemas i386 (Peng Haitao)
• No arranque e reconfig, verifique se há registros em excesso e desvinculá-los
• Adicione um par faltando mensagens analisador de depuração
• saída de erro Fix resolver página de endereço e atualização homem numérico
• Adicione os tipos de eventos netfilter
• Corrigir erro de ortografia na página audit.rules homem (# 667845)
• Melhorar a advertência em relação auditctl modo imutável (# 654883)
• Atualização tabelas syscall para o kernel 2.6.37
• Em ausearch, permitir a pesquisa para AUID -1
• Adicionar fila overflow_action para audisp-remoto para controlar fila transborda
• regras de amostra de atualização para novas syscalls e pacotes

O que é novo na versão 2.0.5:

• Um par de correções foram feitas para 32-bit sistemas quando usando um campo inode em regras.
• atualizações da tabela syscall foram feitas para kernels recentes.
• Novos eventos foram adicionados para início do serviço / parar e virtualização.
• A manipulação da directiva ignorar em auditctl foi corrigido.

O que é novo na versão 2.0.3:

• Muitas correções de registro remoto foram feitos, incluindo uma potencial problema de segurança se gssapi foi habilitado.

O que é novo na versão 2.0.1:.

• getloginuid foi fixada para ligações Python
• O plugin audispd AF_UNIX foi desativado por padrão.
• Um erro no log remoto foi corrigido.
• O script de inicialização foi atualizado.
• A página do manual foi atualizado.