audit daemon

vizsgáló démont (auditd) egy nyílt forráskódú, ingyenes, és nem interaktív démon, egy parancssori program, amely biztosítja a szükséges felhasználói térben eszközök létrehozására ellenőrzési szabályok Linux kernel-alapú operációs rendszereken.

A szoftver is használható kereső és tároló vizsgálati rekordok, hogy keletkezett a vizsgálati alrendszer a Linux kernel 2.6 vagy újabb. Úgy működik, mint egy korlátolt önálló könyvvizsgálói keretet ad a GNU / Linux disztribúció.

Úgy is ismert, mint a Linux Könyvvizsgáló keretrendszer, itt a démon projektet eredetileg létre, hogy a rendszer hívás audit nélkül lépve a meglévő funkciók által nyújtott projektek, mint a SELinux.

A program tudja megnyitni és bezárni audit naplófájlok megtalálják a mappák meghatározott audit_control fájlt. Időbe fog telni az összes fájl abban a sorrendben vannak megadva a fájlt, és olvassa csak ellenőrzési adatokat a kernel. Aztán, azt írja, hogy az adatok egy naplófájlnevet.

Továbbá, ez végrehajt egy script nevű audit_warn amikor a megfelelő ellenőrzési mappák töltse idő a megadott határértékeken írva a audit_control fájlt. vizsgáló démont akkor küld figyelmeztetést a konzol és a audit_warn mail alias.

A telepítéshez a vizsgáló démont a GNU / Linux operációs rendszert használ a forrás csomagot, akkor az első letölthető a hivatalos honlapján (lásd a honlapra link végén a cikk), kivéve az archívum a Kezdőlap könyvtár, és csomagold ki használ archívum vezetője eszköz.

A terminál emulátort, keresse meg a helyet a kitermelt archív fájlokat a & lsquo; cd & rsquo; parancs (pl cd /home/softoware/audit-2.4.1), futtassa a & lsquo; ./ configure && make & rsquo; parancs segítségével állítsa Fordítsd le a programot, majd futtassa a & lsquo; sudo make install & rsquo; parancsot, hogy telepítse a rendszer egészére kiterjedő.

Mi az új ebben a kiadásban:

• Add python3 támogatása libaudit
• Razzia automake figyelmeztetések
• Add AuParser_search_add_timestamp_item_ex a Python
• Add AuParser_get_type_name a Python
• helyes feldolgozása obj_gid a auditctl (Aleksander Zdyb)
• plugint config fájl elemzési erőteljesebb a hosszú sorokat (# 1235457)
• auditctl állapotát nyomtatási elvesztette pályát, előjel nélküli szám
• Add értelmezési mód auditctl -s
• Add python3 támogatást auparse könyvtár
• --enable-zOS-távirányító a fordításkor beállítási lehetőség (Clayton Shotwell)
• Frissítések a határon összeállítása (Clayton Shotwell)
• Add MAC_CHECK audit esemény típus
• Add libauparse pkgconfig fájl (Aleksander Zdyb)

Mi az új verzióban 2.4.1:

• python3 támogatást könnyebb
• Add támogatása ppc64le (Tony Jones)
• Add néhány fordítás A1 ioctl rendszer kéri
• Add Command & virtualizációs jelentések aureport
• Frissítés aureport config jelentést az új események
• Fiók hozzáadása módosítás összefoglaló jelentést aureport
• Add GRP_MGMT és GRP_CHAUTHTOK esemény típusok
• A helyes aureport figyelembe jelentésekben
• Add integritáseseményhez jelentést aureport
• Add config változás összefoglaló jelentést aureport
• Állítsa be néhány syslogging szintű beállításokat audispd
• Javítani elemzés teljesítményt mindent
• Ha ausearch kiad egy sorban a korábban elemzett értékek (Burn Alting)
• Javítani keresi és értelmezése csoportok események
• Teljesen értelmezni a proctitle területen auparse
• Helyes libaudit és auditctl támogatása kernel funkciók
• Add támogatása backlog_time_wait beállítás a auditctl
• Frissítés syscall táblák az 3.18 kernel
• Ignore DNS hiba az e-mail érvényesítés auditd (# 1138674)
• Allow rotációja a kereset space_left és disk_full a auditd.conf
• A helyes bejelentkezési összefoglaló jelentést aureport
• Auditctl syscalls lehet vesszővel elválasztva most
• Frissítés szabályokat az új alrendszerek és képességek

Mi az új verzióban 2.3.2:

• RefuseManualStop a jobb systemd szakasz (# 969345 )
• Add öröksége újraindítás szkriptek systemd támogatás
• Add tovább syscall érv értelmezések
• Add "hatástalanítva" kulcsszó az uid és gid értékek auditctl
• ausearch, elemezze obj IPC rekordot
• ausearch, elemezze tárgyként a DAEMON_ROTATE rekordot
• Fix értelmezése MQ_OPEN és MQ_NOTIFY események
• auditd, restart diszpécser a SIGHUP ha korábban kilépett
• audispd, kilép, ha nincs aktív plugin észlel reconfigure
• audispd, egyértelmű jelzést maszk által meghatározott libev, hogy SIGHUP újra működik
• audispd, a pálya bináris pluginek és újraindul, ha a bináris frissítve
• audispd, hogy biztosan tudjuk jelzéseket küldeni a helyes eljárás,
• auditd, egyértelmű jelzést maszkot, ha a szaporodóképes minden gyermek folyamat
• audispd, hogy beépített plugin reagálni SIGHUP
• auparse, értelmezze mód zászlók nyílt syscall ha O_CREAT halad
• audisp-távoli, nem teszik cím keresése mindig tartós meghibásodása
• audisp-távirányító, távolítsa EOE események hatékonyabban
• auditd, jelentkezzen az oka, ha az e-mail fiók nem érvényes
• audisp-távirányító, a változás alapértelmezett remote_ending cselekvési hogy újra
• Add támogatása Aarch64 processzorok

Mi az új verzióban 2.2.1:

• Add tovább értelmezik auparse a syscall paraméterek
• Add egyes értelmezések az ausearch a syscall paraméterek
• ausearch / jelentést és auparse, kiosztani elég hely a csomópont nevét
• Frissítés syscall táblák a 3.3.0 kernel
• Frissítés libev a 4.0.4
• méretének csökkentése egyes alkalmazások
• auditctl, ellenőrizze használat elleni euid helyett uid

Mi az új 2.1.1 verzióját:

• Ha ausearch van interpretting, kimeneti & quot; a & quot ; ha nem = találnak
• A helyes csatlakozó beállítása a távoli naplózás
• Korrigált pár alapértelmezett beállítások távoli naplózás, és az init script
• Audispd nem jelöléssel indul újra plugins aktív
• Audisp-távirányító kell tartani a funkció, ha a local_port & lt; 1024
• Ha audispd újraindul a plugin, küldjön esemény a kívánt formátumban
• audisp-távirányító, hogy minden I / O aszinkron
• audisp-távirányító, add SIGUSR1 felvezető kiírása belső állapotát
• Fix autrace használni helyes syscalls a s390 és s390x rendszerek
• Add shutdown syscall távoli naplózás teardowns
• Helyes autrace szabály 32 bites rendszeren

Mi az új 2.1-es verzió:

• Frissítés auditctl man oldal az új mező felhasználó szűrő
• Fix összeomlás aulast ha auid idegen a rendszer
• kódtisztítások
• Add store and forward modell audispd-távoli (Mirek Trmac)
• Szabad memória nem startup audisp-előjáték
• Fix memóriavesztés a aureport
• Fix elemzés állapotban probléma libauparse
• Javítani kell a szilárdsága libaudit területen kódolási funkciók
• Frissítés képesség asztalok
• auditd, hogy hiba akció config ellenőrzése következetes
• auditd, ellenőrizze, hogy a NULL még nem telt el, hogy safe_exec
• audisp-távirányító, overflow_action nem felfüggesztésére, ha az akció választották
• Frissítés értelmezések Virt események
• Javítani távoli naplózás figyelmeztető és hibaüzenetek
• Add értelmezések netfilterhez események

Mi az új verzióban 2.0.6:

• ausearch / jelentés teljesítményt növelő
• szinkronizálása minden minta syscall szabályokat kell alkalmazni akció, list
• Ha a program nevét, feltéve, hogy audit_log_acct_message, menekülni
• Fix man oldalon a audit_encode_nv_string funkció (# 647131)
• Ha értéke NULL, nem segfault (# 647128)
• Fix egyszerű eset elemzésekor, hogy nem vállalnak munkamenet azonosítót nem lehet az utolsó (Peng Haitao)
• Add támogatást nyújt az új mmap audit esemény típus
• Add képesség audispd syslog plugint választani létesítmény local0-7 (# 593340)
• Fix autrace használni helyes syscalls i386-os rendszereken (Peng Haitao)
• Indításkor és ÚJRAKONF-, ellenőrizze a felesleges naplók és szüntetheti őket
• Add pár hiányzik értelmező hibakeresési üzenetek
• Fix hibakimenete megoldása numerikus cím és frissítés man oldal
• Add netfilternek esemény típusok
• Fix helyesírási hibát audit.rules man page (# 667845)
• Javítani figyelmeztetés auditctl kapcsolatos megváltoztathatatlan mód (# 654883)
• Frissítés syscall táblák a 2.6.37 kernel
• ausearch, hogy keres auid -1
• Add sorban overflow_action a audisp-távvezérlő sorban túlcsordul
• Frissítés minta szabályait új syscalls és csomagok

Mi az új verzióban 2.0.5:

• Egy pár javítások történtek a 32 bites rendszerek használata esetén egy leíró mező szabályokat.
• Syscall táblázat módosult készültek újabb kernel.
• Új események adtunk a szolgáltatás start / stop és a virtualizáció.
• A kezelése figyelmen kívül hagyja irányelv auditctl rögzítették.

Mi az új verzióban 2.0.3:

• Sok távoli naplózás fixups végeztek, többek között az esetleges biztonsági problémát, ha gssapi engedélyezve volt.

Mi az új 2.0.1:

• getloginuid rögzítették Python.
• A audispd AF_UNIX bővítmény alapértelmezés szerint tiltva.
• A hiba a távoli naplózó rögzítették.
• Az init script frissítve lett.
• A man oldal frissítve.