Ubuntu Auditd 规则列表 - Shell-Bash

Auditd 是 Linux 内核的审计框架，它允许系统管理员检查系统上发生的事件并记录这些事件。本文将介绍 Ubuntu 上使用 Auditd 的规则列表。

安装 Auditd

在 Ubuntu 上，可以使用以下命令安装 Auditd：

sudo apt-get update
sudo apt-get install auditd

规则列表

可以使用 Auditd 的规则来定义要监视的事件类型。以下是一些常用的 Ubuntu Auditd 规则：

1. 监视文件系统更改事件：

-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=1000 -F auid!=4294967295 -k perm_mod

2. 监视文件读取事件：

-a always,exit -F arch=b64 -S open -S openat -F auid>=1000 -F auid!=4294967295 -k access

3. 监视系统调用事件：

-w /etc/shadow -p wa -k shadow

4. 监视登录事件：

-w /var/log/faillog -p wa -k logins

5. 监视 SSH 连接：

-w /var/log/auth.log -p wa -k ssh_login

解释说明

以上规则的含义如下：

1. 监视所有对文件和目录权限的更改，记录操作的用户信息，并创建一个名为 perm_mod 的记录键。

2. 监视所有对文件和目录的读取操作，记录操作的用户信息，并创建一个名为 access 的记录键。

3. 监视 /etc/shadow 文件的所有写操作，并创建一个名为 shadow 的记录键。此规则通常用于防止用户查看存储在此文件中的密码哈希。

4. 监视 /var/log/faillog 文件的所有写操作，并创建一个名为 logins 的记录键。此规则用于记录系统登录的失败尝试。

5. 监视 /var/log/auth.log 文件的所有写操作，并创建一个名为 ssh_login 的记录键。此规则用于记录 SSH 登录。

总结

以上是 Ubuntu Auditd 的规则列表，使用其中的规则可以让系统管理员更好地管理其系统，并了解系统内所发生的事件。