audit daemon

revisjon daemon (auditd) er en åpen kildekode, fri og ikke-interaktiv daemon, et kommandolinjeprogram som gir de nødvendige bruker-plass verktøy for å skape revisjons regler om Linux kernel-baserte operativsystemer.

Programvaren kan også brukes til å søke etter og lagring av revisjons postene som ble generert av revisjonen delsystem i Linux kernel 2.6 eller nyere. Det fungerer som et begrenset stående revisjon rammeverk på GNU / Linux-distribusjon.

Også kjent som Linux Revisjon Work, ble tilsynet daemon prosjektet opprinnelig opprettet for å gi systemkall revisjon uten å tråkke på den eksisterende funksjonaliteten som tilbys av prosjekter som SELinux.

Programmet kan åpne og lukke revisjonsloggfilene som finnes i mappene som er angitt i audit_control filen. Det vil ta alle filene i den rekkefølgen de er angitt i denne filen og leser kun revisjons data fra kjernen. Deretter skriver det at data til en revisjonsloggfilen.

I tillegg utfører det et skript som heter audit_warn når de respektive revisjons mapper fylle forbi de angitte grensene skrevet i audit_control filen. Tilsynet daemon vil da sende advarsler til konsollen og til audit_warn post alias.

For å installere revisjonen nissen på GNU / Linux operativsystem du bruker kilden pakken, må du først laste det ned fra sin offisielle hjemmeside (se lenken hjemmeside på slutten av artikkelen), lagre arkivet på start katalog, og pakk den ved hjelp av et arkiv manager verktøyet.

I en terminal emulator, naviger til plasseringen av de utpakkede arkivfiler ved hjelp av & quot; cd & rsquo; kommando (f.eks cd /home/softoware/audit-2.4.1), kjøre & quot; ./ configure && lage & rsquo; kommando for å konfigurere og sette sammen programmet, og deretter kjøre & quot; sudo make install & rsquo; kommandoen for å installere det hele systemet

Hva er nytt i denne utgaven.

• Legg python3 støtte for libaudit
• Opprydding auto advarsler
• Legg AuParser_search_add_timestamp_item_ex til Python-bindingene
• Legg AuParser_get_type_name til Python-bindingene
• Korrekt behandling av obj_gid i auditctl (Aleksander Zdyb)
• Gjør plugin config filen parsing mer robust for lange linjer (# 1235457)
• Gjør auditctl status print tapt feltet som usignerte nummer
• Legg til tolkning modus for auditctl -s
• Legg python3 støtte til auparse bibliotek
• Lag alternativ enable-ZOS-fjern bygge gang-konfigurasjon (Clayton Shotwell)
• Oppdateringer kryss kompilering (Clayton Shotwell)
• Legg MAC_CHECK revisjon hendelsestypen
• Legg libauparse pkgconfig fil (Aleksander Zdyb)

Hva er nytt i versjon 2.4.1:

• Gjør python3 support enklere
• Legg til støtte for ppc64le (Tony Jones)
• Legg til noen oversettelser for a1 av ioctl systemet kaller
• Legg til kommando og virtualiserings rapporter til aureport
• Oppdater aureport config rapport for nye hendelser
• Legg til konto modifikasjon sammendragsrapport til aureport
• Legg GRP_MGMT og GRP_CHAUTHTOK hendelsestyper
• Riktig aureport konto endrings rapporter
• Legg integritet hendelse rapport til aureport
• Legg config endring sammendragsrapport til aureport
• Juster noen syslogging nivåinnstillinger i audispd
• Forbedre parsing ytelse i alt
• Når ausearch utganger en linje, bruker de tidligere analyserte verdier (Burn Alting)
• Bedre å søke og tolke grupper i hendelser
• Fullt tolke proctitle feltet i auparse
• Riktig libaudit og auditctl støtte for kjernefunksjoner
• Legg til støtte for backlog_time_wait innstillingen via auditctl
• Oppdater syscall tabeller for 3.18 kernel
• Ignorer DNS fiasko for e-validering i auditd (# 1138674)
• Tillat rotere som tiltak for space_left og disk_full i auditd.conf
• Riktig innlogging sammendragsrapport av aureport
• Auditctl syscalls kan være kommaseparert liste nå
• Oppdater regler for nye delsystemer og muligheter

Hva er nytt i versjon 2.3.2:

• Sett RefuseManualStop i riktig systemd seksjonen (# 969345 )
• Legg arven omstart skript for systemd støtte
• Legg til flere syscall argument tolkninger
• Legg til 'unset "keyword for UID og GID verdier i auditctl
• I ausearch, analysere obj i IPC poster
• I ausearch, analysere subj i DAEMON_ROTATE poster
• Fix tolkning av MQ_OPEN og MQ_NOTIFY hendelser
• I auditd, restart sentralen på SIGHUP om det tidligere hadde gått ut
• I audispd, når ingen aktive plugins blir oppdaget på reconfigure exit
• I audispd, klart signal masken satt av libev slik at SIGHUP fungerer igjen
• I audispd, spore binære plugins og start hvis binær ble oppdatert
• I audispd, sørge for at vi sender signaler til riktig prosess
• I auditd, klart signal maske når gyte noen barn prosess
• I audispd, gjør builtin plugins svare på SIGHUP
• I auparse, tolke modusflagg åpen syscall hvis O_CREAT er passert
• I audisp-fjernkontroll, ikke gjør adressesøk alltid en permanent feil
• I audisp-fjernkontroll, fjerne eoe hendelser mer effektivt
• I auditd, logg grunnen når e-postkonto er ikke gyldig
• I audisp-fjernkontroll, endre standard remote_ending handling for å koble
• Legg til støtte for Aarch64 prosessorer

Hva er nytt i versjon 2.2.1:

• Legg til flere tolkninger i auparse for syscall parametre
• Legg til noen tolkninger til ausearch for syscall parametre
• I ausearch / rapport og auparse, bevilge ekstra plass for nodenavn
• Oppdater syscall tabeller for 3.3.0 kernel
• Oppdater libev til 4.0.4
• Reduser størrelsen på enkelte programmer
• I auditctl, sjekk bruken mot euid snarere enn uid

Hva er nytt i versjon 2.1.1:

• Når ausearch er interpretting, utgang & quot; som er & quot ; hvis ingen = er funnet
• Riktig socket oppsett i fjernlogging
• Justert et par standardinnstillinger for ekstern logging og init script
• Audispd ble ikke merking gjenopptok plugins som aktiv
• Audisp-fjernkontroll bør holde en evne hvis local_port & lt; 1024
• Når audispd starter plugin, sende hendelse i sin foretrukne formatet
• I audisp-fjernkontrollen, gjør alt jeg / O asynkron
• I audisp-fjernkontroll, legge SIGUSR1 håndterer å dumpe interne tilstanden
• Fix autrace å bruke riktige syscalls på S390 og s390x systemer
• Legg til nedleggelse syscall til eksterne logging teardowns
• Riktig autrace regelen for 32-bits systemer

Hva er nytt i versjon 2.1:

• Oppdater auditctl man-siden for nye felt på brukerens filter
• Fix krasj i aulast når auid er fremmed for systemet
• Kode opprydding
• Legg til butikken og frem modellen til audispd-fjernkontroll (Mirek Trmac)
• Ledig minne på mislykkede oppstarter i audisp-forspill
• Fix minnelekkasje i aureport
• Fix parsing tilstand problem i libauparse
• Forbedre robustheten libaudit feltet koding funksjoner
• Oppdater evne tabeller
• I auditd, gjøre feil handling config sjekke konsekvent
• I auditd, sjekk at NULL ikke blir sendt til safe_exec
• I audisp-fjernkontroll, overflow_action ble ikke suspendere om at handlingen ble valgt
• Oppdater tolkninger for Virt hendelser
• Forbedre fjernlogging advarsel og feilmeldinger
• Legg tolkninger for netfilter hendelser

Hva er nytt i versjon 2.0.6:

forbedringer
• ausearch / rapport ytelses
• Synkroniser alle prøve syscall regler for å bruke action, liste
• Hvis programnavnet gitt til audit_log_acct_message, unnslippe det
• Fix mannen siden for audit_encode_nv_string funksjon (# 647131)
• Hvis verdien er NULL, ikke segfault (# 647128)
• Fix enkel hendelse parsing å ikke anta session id kan ikke være siste (Peng Haitao)
• Legg til støtte for ny mmap revisjon hendelsestypen
• Legg evne for audispd syslog plugin for å velge anlegget local0-7 (# 593340)
• Fix autrace å bruke riktige syscalls på i386 systemer (Peng Haitao)
• Ved oppstart og reconfig, sjekk for overskytende logger og oppheve tilknytningen dem
• Legg til et par mangler parser debug meldinger
• Fix feil utgang løse numerisk adresse og oppdatering mannen siden
• Legg netfilter hendelsestyper
• Fix stavefeil i audit.rules mannen siden (# 667845)
• Forbedre advarsel i auditctl om uforanderlige modus (# 654883)
• Oppdater syscall tabeller for 2.6.37 kernel
• I ausearch, tillate søker etter auid -1
• Legg køen overflow_action til audisp-fjernkontroll til å styre køen overløp
• Oppdater prøveregler for nye syscalls og pakker

Hva er nytt i versjon 2.0.5:

• Et par rettelser ble gjort for 32-bit systemer når du bruker en inode feltet i regler.
• syscall bord oppdateringer ble gjort for siste kjerner.
• Nye hendelser ble lagt for tjenesten start / stopp og virtualisering.
• Håndteringen av ignorere direktivet i auditctl ble fikset.

Hva er nytt i versjon 2.0.3:

• Mange fjernlogging fixups ble gjort, inkludert en potensiell sikkerhetsproblem hvis GSSAPI ble aktivert.

Hva er nytt i versjon 2.0.1.

• getloginuid ble fikset for Python bindinger
• audispd af_unix plugin ble deaktivert som standard.
• En feil i fjernlogging ble fikset.
• init script ble oppdatert.
• Mannen siden ble oppdatert.