شبح حسابرسی (auditd) منبع باز، رایگان و غیر تعاملی شبح، یک برنامه خط فرمان است که فراهم می کند ابزار کاربر فضای لازم برای ایجاد قوانین حسابرسی بر لینوکس سیستم عامل های مبتنی بر هسته است.
این نسخهها کار میکند به عنوان یک چارچوب حسابرسی مستقل محدود
در این نرم افزار همچنین می تواند برای جستجو و ذخیره سازی اسناد ممیزی که توسط زیر سیستم حسابرسی در هسته لینوکس 2.6 و یا بعد تولید شد استفاده می شود. آن را به عنوان یک چارچوب محدود حسابرسی مستقل را بر روی توزیع گنو / لینوکس شما کار می کند.
چارچوب حسابرسی لینوکس
در همچنین به عنوان شناخته شده لینوکس حسابرسی چارچوب، پروژه شبح حسابرسی ابتدا ایجاد شده برای ارائه حسابرسی سیستم تماس بدون پله در قابلیت های موجود را با پروژه های مانند SELinux را ارائه شده است.
چگونگی عملکرد برنامه
در این برنامه می تواند باز و فایل های بستن ورود به سیستم حسابرسی که در پوشه مشخص شده در فایل audit_control پیدا کنید. آن را به تمام فایل های موجود در سفارش به آنها که در فایل مشخص شده و می خواند فقط داده های ممیزی از هسته است. سپس، آن را می نویسد که داده ها به یک فایل ورود به سیستم ممیزی.
در علاوه بر این، یک اسکریپت به نام audit_warn زمانی که پوشه مربوطه حسابرسی گذشته از حدود مشخص شده در فایل audit_control پر اجرا می کند. شبح حسابرسی پس از آن به کنسول و به نام مستعار ایمیل audit_warn ارسال خواهد هشدارهای.
نصب شبح حسابرسی
برای نصب شبح حسابرسی بر روی سیستم عامل گنو / لینوکس خود را با استفاده از کد منبع، شما باید برای اولین بار آن را از وب سایت رسمی خود دانلود (پیوند صفحه اصلی در پایان این مقاله را ببینید)، صرفه جویی در آرشیو در صفحه اصلی خود را دایرکتوری، و با استفاده از یک ابزار مدیریت آرشیو باز کردن آن.
به یک شبیه ساز ترمینال، حرکت به محل از فایل های استخراج بایگانی با استفاده از و lsquo. سی دی برون دستور (به عنوان مثال /home/softoware/audit-2.4.1 سی دی)، اجرای و lsquo. ./ پیکربندی && را برون دستور به پیکربندی و کامپایل برنامه، پس از آن اجرا و lsquo. کد: sudo را نصب برون دستور آن را نصب سیستم گسترده ای
چه در این نسخه جدید است:
اضافه کردن پشتیبانی برای python3 libaudit
هشدارهای پاکسازی automake
اضافه کردن به AuParser_search_add_timestamp_item_ex اتصالات پایتون
اضافه کردن به AuParser_get_type_name اتصالات پایتون
پردازش صحیح obj_gid در auditctl (الکساندر Zdyb)
فایل پیکربندی پلاگین را تجزیه قوی تر برای صف های طولانی (# 1235457)
وضعیت را auditctl چاپ زمینه از دست داده عدد را به عنوان بدون علامت
اضافه کردن حالت تفسیر برای auditctl -s
اضافه کردن پشتیبانی python3 به auparse کتابخانه
را --enable-ZOS از راه دور یک گزینه پیکربندی زمان ساخت (کلیتون Shotwell)
به روز رسانی برای تدوین متقابل (کلیتون Shotwell)
اضافه کردن MAC_CHECK حسابرسی نوع رویداد
اضافه کردن فایل pkgconfig libauparse (الکساندر Zdyb)
را پشتیبانی python3 ساده تر:
جدید در نسخه 2.4.1 است
اضافه کردن پشتیبانی برای ppc64le (تونی جونز)
اضافه کردن برخی از ترجمه برای A1 از تماس های سیستم IOCTL
اضافه کردن دستور و مجازی سازی گزارش به aureport
به روز رسانی aureport گزارش پیکربندی رویدادهای جدید
اضافه کردن حساب خلاصه گزارش اصلاح به aureport
اضافه کردن GRP_MGMT و GRP_CHAUTHTOK نوع رویداد
گزارش تغییر حساب کاربری aureport صحیح
اضافه کردن یکپارچگی گزارش رویداد به aureport
اضافه کردن پیکربندی خلاصه گزارش تغییر به aureport
تنظیم برخی از تنظیمات سطح syslogging در audispd
بهبود تجزیه عملکرد در همه چیز
هنگامی که ausearch خروجی یک خط، استفاده از مقادیر قبلا تجزیه (رایت Alting)
بهبود جستجو و تفسیر گروه در حوادث
به طور کامل تفسیر درست proctitle در auparse
libaudit صحیح و پشتیبانی auditctl برای ویژگی های کرنل
اضافه کردن پشتیبانی برای تنظیم backlog_time_wait طریق auditctl
جداول به روز رسانی فراخوانی سیستم برای هسته 3.18
نادیده گرفتن شکست DNS برای اعتبار سنجی ایمیل در auditd (# 1138674)
اجازه می دهد چرخش به عنوان اقدام برای space_left و disk_full در auditd.conf
درست خلاصه گزارش ورود به سایت از aureport
syscalls Auditctl می تواند کاما از هم جدا لیست در حال حاضر
قوانین به روز رسانی برای زیر سیستم ها و قابلیت های جدید
چه در نسخه 2.3.2 جدید است:
در RefuseManualStop را در بخش systemd است راست (# 969345)
اضافه کردن اسکریپت راه اندازی مجدد میراث برای حمایت systemd است
اضافه کردن بیشتر فراخوانی سیستم تفاسیر بحث
اضافه کردن کلمه کلیدی 'تنظیم نشده برای ارزش UID و GID در auditctl
در ausearch، تجزیه OBJ در پرونده IPC
در ausearch، تجزیه subj در پرونده DAEMON_ROTATE
رفع تفسیر MQ_OPEN و MQ_NOTIFY حوادث
در auditd، راه اندازی مجدد توزیع در SIGHUP اگر قبلا خارج شده
در audispd، خروج زمانی که هیچ پلاگین فعال در پیکربندی مجدد شناسایی
در audispd، ماسک سیگنال روشن تعیین شده توسط libev به طوری که SIGHUP دوباره کار می کند
در audispd، پیگیری پلاگین باینری و راه اندازی مجدد اگر باینری به روز شد
در audispd، مطمئن شوید که ما سیگنال به روند درست ارسال
در auditd، ماسک سیگنال روشن که تخم ریزی هر پروسه فرزند
در audispd، را پلاگین داخلی پاسخ به SIGHUP
در auparse، تفسیر پرچم حالت فراخوانی سیستم باز اگر O_CREAT به تصویب می رسد
در audisp از راه دور، به مراجعه به آدرس همیشه نارسایی دائم را
در audisp از راه دور، حذف حوادث EOE موثر تر
در auditd، ورود به این دلیل که حساب ایمیل معتبر نیست
در audisp از راه دور، اقدام remote_ending تغییر پیش فرض دوباره به هم متصل
اضافه کردن پشتیبانی برای پردازنده های Aarch64
اضافه کردن تفاسیر در auparse برای پارامترهای فراخوانی سیستمی:
جدید در نسخه 2.2.1 است
اضافه کردن برخی از تفاسیر به ausearch برای پارامترهای فراخوانی سیستمی
در ausearch / گزارش و auparse، اختصاص فضای اضافی برای نام گره
جداول به روز رسانی فراخوانی سیستم برای هسته 3.3.0
به روز رسانی libev به 4.0.4
کاهش اندازه برخی از برنامه های
در auditctl، بررسی استفاده برابر euid به جای UID
جدید در نسخه 2.1.1 است:
هنگام ausearch است interpretting، خروجی و & quot؛ به عنوان Quot و است و. اگر هیچ = شده است
راه اندازی سوکت درست در ورود به سیستم از راه دور
تنظیم تنظیمات به طور پیش فرض زن و شوهر برای ورود به سیستم از راه دور و اسکریپت init
Audispd شد مارک پلاگین راه اندازی مجدد به عنوان فعال است
Audisp از راه دور باید اگر local_port به & lt قابلیت نگه دارید. 1024
هنگامی که audispd پلاگین راه اندازی مجدد، ارسال رویداد در فرمت دلخواه خود را
در audisp از راه دور، همه را با I / O ناهمزمان
در audisp از راه دور، اضافه کردن کنترل sigusr1 به تخلیه دولت های داخلی
رفع autrace به استفاده از syscalls صحیح در سیستم های S390 و s390x
اضافه کردن خاموش کردن فراخوانی سیستم از راه دور به teardowns ورود به سیستم
حکومت autrace صحیح برای 32 بیت سیستم
چه در نسخه 2.1 جدید است:
به روز رسانی auditctl man برای زمینه های جدید در فیلتر کاربر
تعمیر تصادف در aulast که auid خارجی به سیستم
پاکسازی کد
اضافه کردن اینترنتی و مدل به جلو به audispd از راه دور (میرک Trmac)
حافظه آزاد در راه اندازی شکست خورده در audisp-مقدمه
رفع نشت حافظه در aureport
رفع مشکل تجزیه دولت در libauparse
بهبود استحکام توابع پشتیبانی می کند درست libaudit
قابلیت به روز رسانی جداول
در auditd، را شکست عمل پیکربندی چک کردن مداوم
در auditd، بررسی کنید که NULL است که به تصویب رسید به safe_exec
در audisp از راه دور، overflow_action حالت تعلیق نیست در صورتی که عمل انتخاب شد
تفسیر به روز رسانی برای رویدادهای VIRT
بهبود هشدار دهنده ورود به سیستم از راه دور و پیغام خطا
اضافه کردن تفاسیر برای رویدادهای netfilter
چه در نسخه 2.0.6 جدید است:
در ausearch / گزارش بهبود عملکرد
همگام سازی تمام قوانین فراخوانی سیستم نمونه به استفاده از اقدام، لیست
اگر نام برنامه ارائه شده به audit_log_acct_message، آن فرار
صفحه ثابت مرد برای عملکرد audit_encode_nv_string (# 647131)
اگر مقدار NULL است، آیا نمی segfault (# 647128)
رفع اتفاق ساده تجزیه ID جلسه را به عهده نمی تواند باشد گذشته (پنگ Haitao)
اضافه کردن پشتیبانی برای حسابرسی mmap نوع رویداد جدید
توانایی اضافه کردن پلاگین برای syslog را audispd را انتخاب کنید local0-7 تاسیسات (# 593340)
رفع autrace به استفاده از syscalls صحیح در سیستم های i386 را (پنگ Haitao)
در هنگام راه اندازی و reconfig، برای سیاهههای مربوط اضافی را چک کنید و قطع ارتباط آنها
اضافه کردن یک زن و شوهر از دست رفته ها اشکال زدایی تجزیه کننده
رفع خطای خروجی حل عددی و به روز رسانی آدرس صفحه مرد
اضافه کردن رویداد netfilter انواع
رفع خطای املایی در صفحه مرد audit.rules (# 667845)
بهبود هشدار در مورد auditctl حالت تغییرناپذیر (# 654883)
جداول به روز رسانی فراخوانی سیستم برای هسته 2.6.37
در ausearch، اجازه می دهد برای auid -1
اضافه کردن overflow_action صف به audisp از راه دور برای کنترل سرریز صف
قوانین نمونه به روز رسانی برای syscalls جدید و بسته های
جدید در نسخه 2.0.5 است:
یک زن و شوهر از رفع برای سیستم های 32 بیتی که با استفاده از یک میدان inode ها در قوانین ساخته شده است.
به روز رسانی جدول SYSCALL دانه های اخیر ساخته شده است.
رویدادهای جدید برای سرویس شروع / توقف و مجازی سازی اضافه شد.
از دست زدن به چشم پوشی در دستور auditctl ثابت شد.
جدید در نسخه 2.0.3 است:
در بسیاری از fixups ورود به سیستم از راه دور، انجام شد از جمله یک مشکل امنیتی بالقوه اگر GSSAPI فعال شد.
جدید در نسخه 2.0.1 است:
در getloginuid برای اتصالات پایتون ثابت شد.
این پلاگین af_unix audispd پیش فرض غیر فعال شد.
اشکال در ورود به سیستم از راه دور ثابت شد.
اسکریپت init انجام به روز شد.
صفحه man به روز شد.
نظر یافت نشد