audit daemon

daemon Audit (auditd) merupakan open source, bebas dan non-interaktif daemon, program baris perintah yang menyediakan alat user-ruang yang diperlukan untuk membuat aturan audit atas sistem operasi berbasis kernel-Linux.

Perangkat lunak ini juga dapat digunakan untuk mencari dan menyimpan catatan audit yang dihasilkan oleh subsistem audit dalam Linux kernel 2.6 atau yang lebih baru. Ia bekerja sebagai kerangka kerja audit mandiri terbatas pada distribusi GNU / Linux Anda.

Juga dikenal sebagai Audit Kerangka Linux, proyek daemon audit awalnya dibuat untuk menyediakan system call audit tanpa menginjak fungsi yang ada disediakan oleh proyek-proyek seperti SELinux.

Program ini dapat membuka dan menutup file log audit yang menemukan dalam folder yang ditentukan dalam file audit_control. Ini akan mengambil semua file dalam urutan mereka ditentukan dalam file itu dan membaca data audit hanya dari kernel. Kemudian, itu menulis bahwa data ke file log audit.

Selain itu, ia mengeksekusi script yang disebut audit_warn ketika folder pemeriksaan masing-masing mengisi melewati batas yang ditentukan ditulis dalam file audit_control. daemon Audit kemudian akan mengirimkan peringatan ke konsol dan ke alias audit_warn email.

Untuk menginstal daemon audit atas sistem operasi GNU / Linux menggunakan paket source, Anda harus terlebih dahulu men-download dari situs resminya (lihat homepage link di bagian akhir artikel), menyimpan arsip pada rumah Anda direktori, dan ekstrak menggunakan alat bantu manajer arsip.

Dalam emulator terminal, arahkan ke lokasi file arsip diekstrak menggunakan & lsquo; cd & rsquo; perintah (misalnya cd /home/softoware/audit-2.4.1), menjalankan & lsquo; ./ configure && make & rsquo; perintah untuk mengkonfigurasi dan mengkompilasi program, kemudian jalankan & lsquo; sudo make install & rsquo; perintah untuk menginstalnya sistem lebar

Apa yang baru dalam rilis ini:.

• Add dukungan python3 untuk libaudit
• peringatan Cleanup automake
• Tambahkan AuParser_search_add_timestamp_item_ex ke binding python
• Tambahkan AuParser_get_type_name ke binding python
• pengolahan Benar obj_gid di auditctl (Aleksander Zdyb)
• Membuat file konfigurasi Plugin parsing yang lebih kuat untuk garis panjang (# 1235457)
• Membuat Status auditctl cetak bidang kehilangan nomor sebagai unsigned
• Add modus interpretasi untuk auditctl -s
• Add dukungan python3 ke auparse perpustakaan
• Membuat --enable-ZOS-jauh pilihan konfigurasi waktu pembangunan (Clayton Shotwell)
• Update untuk cross compiling (Clayton Shotwell)
• Add MAC_CHECK Jenis acara pemeriksaan
• Add File pkgconfig libauparse (Aleksander Zdyb)

Apa yang baru di versi 2.4.1:

• Membuat dukungan python3 mudah
• Add dukungan untuk ppc64le (Tony Jones)
• Tambahkan beberapa terjemahan untuk a1 sistem ioctl panggilan
• Tambahkan perintah & virtualisasi laporan ke aureport
• laporan Perbarui aureport konfigurasi untuk acara baru
• Tambahkan akun laporan ringkasan modifikasi aureport
• Add GRP_MGMT dan GRP_CHAUTHTOK jenis acara

laporan
• aureport Benar perubahan akun
• Add laporan acara integritas untuk aureport
• Add config ringkasan laporan perubahan ke aureport
• Sesuaikan beberapa pengaturan tingkat syslogging di audispd
• Meningkatkan kinerja parsing dalam segala
• Ketika ausearch output baris, gunakan nilai diurai sebelumnya (Membakar Alting)
• Meningkatkan mencari dan menafsirkan kelompok dalam acara
• Sepenuhnya menafsirkan bidang proctitle di auparse
• libaudit benar dan dukungan auditctl untuk fitur kernel
• Add dukungan untuk pengaturan backlog_time_wait melalui auditctl
• tabel Perbarui syscall untuk 3.18 kernel
• Abaikan kegagalan DNS untuk validasi email di auditd (# 1138674)
• Izinkan rotate sebagai tindakan untuk space_left dan disk_full di auditd.conf
• Benar ringkasan laporan login aureport

syscalls
• Auditctl bisa daftar dipisahkan koma sekarang
• aturan Update untuk subsistem baru dan kemampuan

Apa yang baru di versi 2.3.2:

• Masukan RefuseManualStop di bagian systemd kanan (# 969345 )
• Add warisan Restart script untuk dukungan systemd
• Tambahkan lebih banyak interpretasi argumen syscall
• Add 'unset' kata kunci untuk uid & gid nilai dalam auditctl
• Dalam ausearch, mengurai obj dalam catatan IPC
• Dalam ausearch, mengurai Subj dalam catatan DAEMON_ROTATE
• interpretasi Fix dari MQ_OPEN dan MQ_NOTIFY acara
• Dalam auditd, Restart operator di SIGHUP jika sebelumnya keluar
• Dalam audispd, keluar ketika tidak ada plugin aktif yang terdeteksi pada reconfigure
• Dalam audispd, masker sinyal yang jelas ditetapkan oleh libev sehingga SIGHUP bekerja lagi
• Dalam audispd, melacak plugin biner dan restart jika biner telah diupdate
• Dalam audispd, pastikan kita mengirim sinyal ke proses yang benar
• Dalam auditd, masker sinyal yang jelas saat pemijahan setiap proses anak
• Dalam audispd, membuat plugin builtin menanggapi SIGHUP
• Dalam auparse, menafsirkan bendera modus syscall terbuka jika O_CREAT dilewatkan
• Dalam audisp-jauh, tidak membuat alamat lookup selalu kegagalan permanen
• Dalam audisp-jauh, menghapus peristiwa EOE lebih efisien
• Dalam auditd, log alasan ketika akun email tidak valid
• Dalam audisp-jauh, aksi remote_ending perubahan standar untuk menyambung kembali
• Add dukungan untuk prosesor Aarch64

Apa yang baru di versi 2.2.1:

• Tambahkan lebih banyak interpretasi dalam auparse untuk parameter syscall
• Tambahkan beberapa interpretasi untuk ausearch untuk parameter syscall
• Dalam ausearch / laporan dan auparse, mengalokasikan ruang tambahan untuk nama node
• tabel Perbarui syscall untuk 3.3.0 kernel
• Update libev ke 4.0.4
• Mengurangi ukuran beberapa aplikasi
• Dalam auditctl, memeriksa penggunaan terhadap EUID daripada uid

Apa yang baru di versi 2.1.1:

• Ketika ausearch adalah interpretting, keluaran & quot; seperti & quot ; jika tidak ada = ditemukan
• Setup soket yang benar di remote logging
• Disesuaikan pengaturan beberapa default untuk logging jauh dan skrip init
• Audispd tidak menandai plugin restart aktif
• Audisp-jauh harus menjaga kemampuan jika local_port & lt; 1024
• Ketika audispd restart Plugin, mengirim acara dalam format yang disukai
• Dalam audisp-jauh, membuat semua I / O asynchronous
• Dalam audisp-jauh, menambahkan handler SIGUSR1 untuk membuang keadaan internal
• Fix autrace menggunakan syscalls yang benar pada sistem s390 dan s390x
• Tambahkan shutdown yang syscall untuk teardowns logging jauh
• Benar aturan autrace untuk 32 bit sistem

Apa yang baru di versi 2.1:

• Update auditctl halaman manual untuk bidang baru pada pengguna penyaring
• Fix kecelakaan di aulast ketika auid asing ke sistem
• pembersihan Kode
• Add toko dan model depan untuk audispd-jauh (Mirek Trmac)
• Free memori pada startup gagal dalam audisp-awal
• memori Fix kebocoran di aureport
• Perbaiki parsing masalah negara di libauparse
• Meningkatkan ketahanan fungsi bidang libaudit encoding
• tabel kemampuan Perbarui
• Dalam auditd, membuat tindakan kegagalan config memeriksa konsisten
• Dalam auditd, periksa NULL yang tidak dilewatkan ke safe_exec
• Dalam audisp-jauh, overflow_action tidak menangguhkan jika tindakan yang dipilih
• interpretasi Update untuk acara Virt
• Meningkatkan peringatan logging jauh dan pesan kesalahan
• Add interpretasi untuk acara Netfilter

Apa yang baru di versi 2.0.6:

perbaikan
• ausearch / kinerja laporan
• Sinkronisasi semua aturan sampel syscall menggunakan tindakan, daftar
• Jika nama program yang diberikan kepada audit_log_acct_message, melarikan diri
• halaman manual Fix untuk fungsi audit_encode_nv_string (# 647131)
• Jika nilai adalah NULL, tidak segfault (# 647128)
• Perbaiki acara sederhana parsing untuk tidak menganggap sesi id tidak bisa menjadi yang terakhir (Peng Haitao)
• Add dukungan untuk baru jenis acara pemeriksaan mmap
• Add kemampuan untuk plugin audispd syslog untuk memilih fasilitas local0-7 (# 593340)
• Fix autrace menggunakan syscalls yang benar pada sistem i386 (Peng Haitao)
• Pada startup dan reconfig, memeriksa kelebihan log dan membatalkan hubungan mereka
• Tambahkan beberapa hilang pesan parser men-debug
• keluaran Perbaiki kesalahan menyelesaikan numerik alamat dan memperbarui halaman manual
• Add jenis acara Netfilter
• Perbaiki kesalahan ejaan dalam audit.rules manusia halaman (# 667845)
• Meningkatkan peringatan di auditctl mengenai modus berubah (# 654883)
• tabel Perbarui syscall untuk 2.6.37 kernel
• Dalam ausearch, memungkinkan mencari auid -1
• Tambahkan antrian overflow_action ke audisp-remote untuk mengontrol antrian overflows
• Update aturan sampel untuk syscalls baru dan paket

Apa yang baru di versi 2.0.5:

• Beberapa perbaikan dibuat untuk 32-bit sistem ketika menggunakan medan inode dalam aturan.
• update tabel syscall dibuat untuk kernel baru.
• Event baru ditambahkan untuk layanan start / stop dan virtualisasi.
• Penanganan mengabaikan direktif di auditctl itu tetap.

Apa yang baru di versi 2.0.3:

• Banyak fixups logging jauh dilakukan, termasuk potensi masalah keamanan jika GSSAPI diaktifkan.

Apa yang baru di versi 2.0.1:.

• getloginuid itu tetap untuk Python binding
• Plugin audispd af_unix telah dinonaktifkan secara default.
• Sebuah bug di remote logging itu tetap.
• skrip init telah diupdate.
• Halaman manual telah diupdate.