audit daemon

revisions daemon (auditd) är en öppen källkod, fri och icke-interaktiv demonen, en kommandorad program som ger de nödvändiga användarrymdverktyg för att skapa revisionsregler på Linuxkärnan-baserade operativsystem.

Programmet kan också användas för att söka och lagra granskningsregistreringar som genererades av revisionssystemet i Linux kernel 2.6 eller senare. Det fungerar som en begränsad fristående revisions ram på GNU / Linux-distribution.

Även känd som Linux revisionsFrameWork, var revisions demonen projektet ursprungligen skapades för att ge systemanrop granskning utan att trampa på befintlig funktionalitet som tillhandahålls av projekt som SELinux.

Programmet kan öppna och stänga revisionsloggfiler som finns i mapparna som anges i audit_control filen. Det kommer att ta alla filer i den ordning de anges i filen och läser endast revisionsuppgifter från kärnan. Sedan, skriver det som data till en revision loggfil.

Dessutom utför det ett manus som heter audit_warn när respektive revisions mappar fyller förbi angivna gränser skrivna i audit_control filen. revision daemon kommer sedan att skicka varningar till konsolen och till audit_warn postalias.

Så här installerar revisions demonen på GNU / Linux operativsystem med hjälp av källkodspaketet, måste du först ladda ner den från sin officiella webbplats (se hemsidan länken i slutet av artikeln), spara arkivet på startsidan katalog och packa upp den med hjälp av en arkivchef verktyg.

I en terminalemulator, navigera till platsen för extraherade arkivfiler med hjälp av & lsquo; cd & rsquo; kommandot (t.ex. cd /home/softoware/audit-2.4.1), kör & lsquo; ./ configure && make & rsquo; kommando för att konfigurera och kompilera programmet, kör sedan & lsquo; sudo make install & rsquo; kommando för att installera det hela systemet

Vad är nytt i den här versionen.

• Lägg python3 stöd för libaudit
• Rensning auto varningar
• Lägg AuParser_search_add_timestamp_item_ex till Python-bindningar
• Lägg AuParser_get_type_name till Python-bindningar
• Korrekt hantering av obj_gid i auditctl (Aleksander Zdyb)
• Gör plugin konfigurationsfil pars mer robust för långa rader (# 1235457)
• Gör auditctl status print förlorade planen när osignerade antal
• Lägg tolkningsläge för auditctl -s
• Lägg python3 stöd för att auparse bibliotek
• Gör --enable-ZOS-remote en byggtid konfigurationsalternativ (Clayton Shotwell)
• Uppdateringar för tvär sammanställning (Clayton Shotwell)
• Lägg MAC_CHECK revision händelsetypen
• Lägg libauparse pkgconfig fil (Aleksander Zdyb)

Vad är nytt i version 2.4.1:

• Gör python3 stöd lättare
• Lägg till stöd för ppc64le (Tony Jones)
• Lägg till några översättningar för a1 av ioctl systemanrop
• Lägg till kommandot och virtualisering rapporter aureport
• Uppdatera aureport config rapporten för nya händelser
• Lägg till konto modifiering sammanfattande rapport till aureport
• Lägg till GRP_MGMT och GRP_CHAUTHTOK händelsetyper
• Korrekt aureport konto Rapporter
• Lägg integritet händelserapport att aureport
• Lägg config förändring sammanfattande rapport till aureport
• Justera vissa inställningar syslogging nivå i audispd
• Förbättra analysera prestanda i allt
• När ausearch matar ut en linje, använder tidigare analyserade värdena (Burn Alting)
• Förbättra söka och tolka grupper händelser
• Fullt tolka proctitle fältet i auparse
• Korrekt libaudit och auditctl stöd för kärnfunktioner
• Lägg till stöd för backlog_time_wait inställning via auditctl
• Uppdatera syscall tabeller för 3.18 kernel
• Ignorera DNS misslyckande för e-validering i auditd (# 1138674)
• Tillåt rotera som talan om space_left och disk_full i auditd.conf
• Korrekt inloggning sammanfattande rapport om aureport
• Auditctl syscalls kan vara kommaseparerad lista nu
• Uppdatera reglerna för nya delsystem och möjligheter

Vad är nytt i version 2.3.2:

• Flytta RefuseManualStop i den högra SYSTEMD sektionen (# 969345 )
• Lägg äldre omstart manus för SYSTEMD stöd
• Lägg till fler syscall argument tolkningar
• Lägg till "urkopplat" sökord för uid & GID värden auditctl
• I ausearch, tolka obj i IPC poster
• I ausearch, tolka Ämnesområde i DAEMON_ROTATE poster
• Fix tolkning av MQ_OPEN och MQ_NOTIFY händelser
• I auditd, omstart avsändare på SIGHUP om det hade tidigare lämnat
• I audispd, avfart när inga aktiva plugins detekteras på recon
• I audispd, tydlig signal mask som fastställts av libev så att SIGHUP fungerar igen
• I audispd, spåra binära plugins och starta om binär uppdaterades
• I audispd, se till att vi skickar signaler till rätt process
• I auditd, tydlig signal mask när leken något barn process
• I audispd, gör BUILTIN plugins svarar på SIGHUP
• I auparse, tolka mode flaggor i öppen syscall om O_CREAT förs
• I audisp-remote, gör inte adressuppslags alltid en permanent fel
• I audisp-remote, ta bort EOE händelser mer effektivt
• I auditd, logga anledning när e-postkontot är inte giltigt
• I audisp-remote, ändra standard remote_ending åtgärder för att återansluta
• Lägg till stöd för Aarch64 processorer

Vad är nytt i version 2.2.1:

• Lägg till fler tolkningar auparse för syscall parametrar
• Lägg till några tolkningar ausearch för syscall parametrar
• I ausearch / rapport och auparse fördela extra utrymme för nodnamn
• Uppdatera syscall tabeller för 3.3.0-kärnan
• Uppdatera libev till 4.0.4
• Minska storleken på vissa program
• I auditctl, kontrollera användningen mot euid snarare än uid

Vad är nytt i version 2.1.1:

• När ausearch är interpretting, produktion & quot; som är & quot ; om inga = hittas
• Korrekt socket setup i fjärrloggning
• Justerat ett par standardinställningar för fjärrloggning och initskript
• Audispd inte märkning startas om plugins som aktiv
• Audisp-remote bör hålla en kapacitet om local_port & lt; 1024
• När audispd startar plugin, skicka händelsen i sin föredragna formatet
• I audisp-remote, göra alla I / O asynkront
• I audisp-remote, lägga sigusr1 handler att dumpa inre tillstånd
• Fix autrace att använda rätt syscalls på s390 och s390x system
• Lägg avstängning syscall till fjärrloggning demontering
• Korrekt autrace regel för 32 bitar system

Vad är nytt i version 2.1:

• Uppdatera auditctl man sida för nytt fält på användarens filter
• Fix krasch i aulast när auid är främmande för systemet
• Kod cleanups
• Lägg store and forward modell audispd-fjärrkontrollen (Mirek Trmac)
• Frigör minne på misslyckade starter i audisp-förspel
• Fix minnesläcka i aureport
• Åtgärda analysera statliga problem i libauparse
• Förbättra robusthet libaudit fältkodningsfunktioner
• Uppdatera förmåga tabeller
• I auditd, gör fel åtgärder config kontroll konsekvent
• I auditd, kontrollera att NULL inte förs vidare till safe_exec
• I audisp-remote, overflow_action inte suspendering om valdes att åtgärder
• Uppdatera tolkningar för virt händelser
• Förbättra fjärrloggning varning och felmeddelanden
• Lägg till tolkningar av netfilter händelser

Vad är nytt i version 2.0.6:

förbättringar
• ausearch / rapport prestanda
• Synkronisera alla prov syscall regler att använda åtgärder, lista
• Om programnamn tillhandahålls audit_log_acct_message, fly det
• Fix manualsida för audit_encode_nv_string funktionen (# 647131)
• Om värdet är NULL, inte segfault (# 647128)
• Fix enkel händelse tolkning att inte anta sessions-id kan inte vara sista (Peng Haitao)
• Lägg till stöd för ny mmap revision händelsetypen
• Lägg förmåga till audispd syslog plugin för att välja anläggning local0-7 (# 593340)
• Fix autrace att använda rätt syscalls på i386 system (Peng Haitao)
• Vid start och RECONFIG, kontrollera överskott stockar och ta bort länken dem
• Lägg till ett par som saknas parser debug-meddelanden
• Fix felutdata lösa numerisk adress och uppdatera manualsidan
• Lägg netfilter händelsetyper
• Fix stavfel i audit.rules manualsida (# 667845)
• Förbättra varning i auditctl om oföränderliga läge (# 654883)
• Uppdatera syscall tabeller för 2.6.37-kärnan
• I ausearch tillåta att söka efter auid -1
• Lägg kö overflow_action att audisp-fjärrkontroll för att styra kö svämmar
• Uppdatera reglerna för nya syscalls och paket prov

Vad är nytt i version 2.0.5:

• Ett par korrigeringar gjordes för 32-bitars system när du använder en inod fält i regler.
• syscall tabelluppdateringar gjordes för senare kärnor.
• Nya händelser lades för service start / stopp och virtualisering.
• Hanteringen av ignorera direktivet auditctl fastställdes.

Vad är nytt i version 2.0.3:

• Många fjärrloggning korrigeringar gjordes, bland annat en potentiell säkerhetsproblem om gssapi var aktiverat.

Vad är nytt i version 2.0.1:.

• getloginuid fastställdes för Python-bindningar
• audispd af_unix plugin inaktiverat som standard.
• Ett fel i fjärrloggning fastställdes.
• initskriptet uppdaterades.
• Mannen sidan uppdaterades.