audit daemon

έλεγχος δαίμονα (auditd) είναι ένα open source, δωρεάν και μη διαδραστική δαίμονα, ένα πρόγραμμα γραμμής εντολών που παρέχει τις απαραίτητες user-space εργαλεία για τη δημιουργία των κανόνων ελέγχου σε πυρήνα Linux λειτουργικά συστήματα που βασίζονται.

Το λογισμικό μπορεί επίσης να χρησιμοποιηθεί για την αναζήτηση και την αποθήκευση των αρχείων ελέγχου που δημιουργήθηκαν από το υποσύστημα ελέγχου στο Linux kernel 2.6 ή νεότερη έκδοση. Λειτουργεί ως ένα περιορισμένο αυτόνομο πλαίσιο του λογιστικού ελέγχου για την διανομή σας GNU / Linux.

Επίσης γνωστό ως το Linux Ελεγκτικά πλαίσιο, το έργο ελέγχου δαίμονα αρχικά δημιουργήθηκε για να παρέχει τον έλεγχο κλήση συστήματος χωρίς να φύγετε από την υπάρχουσα λειτουργικότητα που παρέχεται από έργα όπως το SELinux.

Το πρόγραμμα μπορεί να ανοίξει και να κλείσει τα αρχεία καταγραφής ελέγχου που βρίσκουν στους φακέλους που καθορίζονται στο αρχείο audit_control. Θα πάρει όλα τα αρχεία με τη σειρά που καθορίζεται στο εν λόγω αρχείο και να διαβάζει μόνο τα δεδομένα ελέγχου από τον πυρήνα. Στη συνέχεια, γράφει ότι τα δεδομένα σε ένα αρχείο καταγραφής ελέγχου.

Επιπλέον, εκτελεί ένα σενάριο που ονομάζεται audit_warn όταν οι αντίστοιχους φακέλους ελέγχου γεμίσει πέρα ​​από τα καθορισμένα όρια γραμμένο στο αρχείο audit_control. ελέγχου δαίμονας στη συνέχεια θα στείλει προειδοποιήσεις στην κονσόλα και το ψευδώνυμο audit_warn ταχυδρομείου.

Για να εγκαταστήσετε τον έλεγχο δαίμονα για το λειτουργικό σύστημα GNU / Linux χρησιμοποιώντας το πηγαίο πακέτο, θα πρέπει να το κατεβάσετε πρώτα από την επίσημη ιστοσελίδα του (δείτε το σύνδεσμο της αρχικής σελίδας στο τέλος του άρθρου), αποθηκεύστε το αρχείο στην αρχική σας κατάλογο, και αποσυμπιέστε το αρχείο χρησιμοποιώντας ένα εργαλείο διαχείρισης.

Σε ένα τερματικό, μεταβείτε στη θέση του αρχείου εξαχθεί αρχεία χρησιμοποιώντας το & lsquo? CD & rsquo? Εντολή (π.χ. CD /home/softoware/audit-2.4.1), εκτελέστε το & lsquo? ./ configure && make & rsquo? εντολή για να ρυθμίσετε και να καταρτίσει το πρόγραμμα, στη συνέχεια, εκτελέστε το & lsquo? sudo make install & rsquo? εντολή για να το εγκαταστήσετε σε ολόκληρο το σύστημα

Τι είναι καινούργιο σε αυτή την έκδοση:.

• Προσθήκη python3 υποστήριξη για libaudit
• προειδοποιήσεις Εκκαθάριση automake
• Προσθήκη AuParser_search_add_timestamp_item_ex να του python
• Προσθήκη AuParser_get_type_name να του python
• Η σωστή επεξεργασία των obj_gid σε auditctl (Aleksander Zdyb)
• Κάντε plugin αρχείο ρυθμίσεων parsing πιο ισχυρή για τις μεγάλες γραμμές (# 1235457)
• Κάντε εκτύπωσης κατάστασης auditctl χάσει τομέα ως ανυπόγραφο αριθμός
• Προσθήκη τρόπου ερμηνείας για auditctl -s
• Προσθήκη στήριξη python3 να auparse βιβλιοθήκη
• Κάντε --enable-Ζως-απομακρυσμένες μια επιλογή διαμόρφωσης χρόνος κατασκευής (Clayton Shotwell)
• Ενημερώσεις για τις διασυνοριακές μεταγλώττιση (Clayton Shotwell)
• Προσθήκη MAC_CHECK τύπου συμβάν ελέγχου
• Προσθήκη libauparse αρχείο pkgconfig (Aleksander Zdyb)

Τι είναι καινούργιο στην έκδοση 2.4.1:

• Κάντε στήριξη python3 ευκολότερη
• Προσθήκη υποστήριξης για ppc64le (Tony Jones)
• Προσθέστε μερικές μεταφράσεις για Α1 του συστήματος ioctl καλεί
• Εντολή Προσθήκη & virtualization εκθέσεις aureport
• Ενημέρωση έκθεση config aureport για νέες καταχωρήσεις
• Προσθήκη λογαριασμού συνοπτική έκθεση για την τροποποίηση aureport
• Προσθήκη GRP_MGMT και GRP_CHAUTHTOK τύποι περίπτωση

εκθέσεις
• Διορθώστε aureport αλλαγή λογαριασμού
• Προσθήκη έκθεση εκδήλωση ακεραιότητα aureport
• Προσθήκη config συνοπτική έκθεση για την αλλαγή aureport
• Προσαρμόστε κάποιες ρυθμίσεις σε επίπεδο syslogging audispd
• Βελτίωση ανάλυσης των επιδόσεων σε ό
• Όταν ausearch εξάγει μία γραμμή, χρησιμοποιήστε τα προηγουμένως αναλυθεί τιμές (Burn Alting)
• Βελτίωση αναζήτηση και την ερμηνεία των ομάδων σε εκδηλώσεις
• Πλήρως ερμηνεύσει το proctitle πεδίο auparse
• Διορθώστε libaudit και υποστήριξη auditctl για τα χαρακτηριστικά του πυρήνα
• Προσθήκη υποστήριξης για backlog_time_wait ρύθμιση μέσω auditctl
• πίνακες Ενημέρωση syscall για τον πυρήνα 3,18
• Αγνοήστε αποτυχία DNS για την επικύρωση email σε auditd (# 1138674)
• Να επιτρέπεται περιστροφή ως δράση για space_left και disk_full σε auditd.conf
• Διορθώστε συνοπτική έκθεση της σύνδεσής aureport

syscalls
• Auditctl μπορεί να είναι διαχωρισμένες με κόμμα λίστα τώρα
• Ενημέρωση κανόνες για τα νέα υποσυστήματα και τις δυνατότητες

Τι είναι καινούργιο στην έκδοση 2.3.2:

• Βάλτε RefuseManualStop στο δεξιό τμήμα του systemd (# 969345 )
• Προσθήκη κληρονομιά επανεκκίνηση σενάρια για την υποστήριξη του systemd
• Προσθέστε περισσότερες ερμηνείες επιχείρημα syscall
• Προσθήκη «απενεργοποίηση» λέξη-κλειδί για τις τιμές uid & gid στο auditctl
• Σε ausearch, να αναλύσει obj στην IPC αρχεία
• Σε ausearch, να αναλύσει subj στα αρχεία DAEMON_ROTATE
• Fix ερμηνεία της MQ_OPEN και MQ_NOTIFY εκδηλώσεις
• Σε auditd, επανεκκίνηση αποστολέας για SIGHUP αν είχε προηγουμένως εξέλθει
• Σε audispd, την έξοδο όταν δεν υπάρχουν δραστικοί plugins εντοπίστηκε αναμορφώσουν
• Σε audispd, σαφές μάσκα των σημάτων που καθορίζονται από libev έτσι ώστε να λειτουργεί και πάλι SIGHUP
• Σε audispd, παρακολουθείτε δυαδικό plugins και κάντε επανεκκίνηση, εάν η δυαδική ενημερώθηκε
• Σε audispd, βεβαιωθείτε ότι στέλνουμε μηνύματα προς την σωστή διαδικασία
• Σε auditd, σαφές σήμα μάσκα όταν ζευγαρώνει κάθε διαδικασία παιδιού
• Σε audispd, κάνουν ενσωματωμένη plugins απαντήσετε σε SIGHUP
• Σε auparse, ερμηνεύουν λειτουργία σημαίες των ανοικτών syscall αν O_CREAT περνά
• Σε audisp-τηλεχειριστήριο, δεν κάνουν αναζήτηση διεύθυνσης πάντα μια μόνιμη βλάβη
• Σε audisp-τηλεχειριστήριο, αφαιρέστε τα γεγονότα ΕΟΕ πιο αποτελεσματικά
• Σε auditd, καταγράφει το λόγο όταν ο λογαριασμός ηλεκτρονικού ταχυδρομείου δεν είναι έγκυρη
• Σε audisp-τηλεχειριστήριο, αλλαγή προεπιλεγμένη ενέργεια remote_ending να επανασυνδεθεί
• Προσθήκη υποστήριξης για τους μεταποιητές Aarch64

Τι είναι καινούργιο στην έκδοση 2.2.1:

• Προσθέστε περισσότερες ερμηνείες σε auparse για τις παραμέτρους syscall
• Προσθέστε μερικές ερμηνείες ausearch για τις παραμέτρους syscall
• Στην ausearch / έκθεση και auparse, διαθέτουν επιπλέον χώρο για τα ονόματα κόμβο
• πίνακες Ενημέρωση syscall για τον πυρήνα 3.3.0
• Ενημέρωση libev να 4.0.4
• Μειώστε το μέγεθος ορισμένων εφαρμογών
• Σε auditctl, ελέγξτε τη χρήση κατά euid παρά UID

Τι είναι καινούργιο στην έκδοση 2.1.1:

• Όταν ausearch είναι interpretting, παραγωγή & quot? όπως είναι & quot ? αν δεν βρεθεί =
• Διορθώστε τη ρύθμιση υποδοχή σε απομακρυσμένες υλοτομία
• Προσαρμοσμένα ένα προεπιλεγμένο ζευγάρι ρυθμίσεις για απομακρυσμένη καταγραφή και σενάριο init
• Audispd δεν είχε σήμανση επανεκκίνηση plugins ως δραστική
• Audisp-απομακρυσμένες πρέπει να έχετε την ικανότητα, αν local_port & lt? 1024
• Όταν audispd επανεκκίνηση plugin, να στείλετε εκδήλωση στην προτιμώμενη μορφή της
• Σε audisp-τηλεχειριστήριο, κάνει όλα τα I / O ασύγχρονη
• Σε audisp-τηλεχειριστήριο, προσθέστε SIGUSR1 χειριστή να απορρίπτουν την εσωτερική κατάσταση
• Fix autrace να χρησιμοποιήσετε τη σωστή syscalls για την αρχιτεκτονική s390 και s390x συστήματα
• Προσθήκη shutdown syscall να αποκμακρυσμένες teardowns
• Διορθώστε κανόνα autrace για συστήματα 32 bits

Τι είναι καινούργιο στην έκδοση 2.1:

• Ενημέρωση auditctl σελίδα man για το νέο πεδίο στο φίλτρο του χρήστη
• συντριβή Fix σε aulast όταν auid είναι ξένη προς το σύστημα
• Τακτοποίηση κώδικα
• Προσθέστε αποθήκευσης και προώθησης μοντέλο για να audispd-τηλεχειριστήριο (Μίρεκ Trmac)
• Ελεύθερη μνήμη για απέτυχε ξεκινήματα σε audisp-πρελούδιο
• διαρροή μνήμης Φιξ στο aureport
• Διορθώστε την ανάλυση προβληματική κατάσταση στην libauparse
• Βελτίωση της ανθεκτικότητας των λειτουργιών τομέα libaudit κωδικοποίησης
• πίνακες Ενημέρωση ικανότητα
• Σε auditd, καθιστούν τη δράση αποτυχία config έλεγχο συνεπής
• Σε auditd, ελέγξτε ότι NULL δεν πέρασαν στην safe_exec
• Σε audisp-τηλεχειριστήριο, overflow_action δεν αναστέλλει αν η δράση επιλέχθηκε
• Ενημέρωση ερμηνείες για τα γεγονότα virt
• Βελτίωση τηλεειδοποίηση υλοτομία και τα μηνύματα λάθους
• Προσθήκη ερμηνείες για τα γεγονότα netfilter

Τι είναι καινούργιο στην έκδοση 2.0.6:

βελτιώσεις
• ausearch / απόδοσης έκθεση
• Συγχρονισμός όλων των κανόνων του δείγματος syscall να χρησιμοποιήσετε δράση, κατάλογος
• Εάν το όνομα του προγράμματος που προβλέπεται στο audit_log_acct_message, να ξεφύγει
• Fix σελίδα man για την λειτουργία audit_encode_nv_string (# 647131)
• Αν η τιμή είναι NULL, δεν segfault (# 647.128)
• Fix απλό γεγονός parsing να μην αναλάβει id συνόδου δεν μπορεί να είναι η τελευταία (Peng Χαϊτάο)
• Προσθήκη υποστήριξης για το νέο τύπο συμβάν ελέγχου mmap
• Προσθήκη ικανότητα για audispd syslog plugin για να επιλέξετε εγκατάσταση local0-7 (# 593340)
• Fix autrace να χρησιμοποιήσετε τη σωστή syscalls σε συστήματα i386 (Peng Χαϊτάο)
• Κατά την εκκίνηση και reconfig, ελέγξτε για την υπέρβαση κούτσουρα και αποσυνδέστε τους
• Προσθέστε ένα ζευγάρι που λείπει αναλυτή μηνύματα εντοπισμού σφαλμάτων
• έξοδος σφάλματος Fix επίλυση αριθμητική διεύθυνση της σελίδας και την επικαιροποίηση του ανθρώπου
• Προσθήκη netfilter τύποι συμβάντων
• Διορθώστε την ορθογραφία λάθος στην audit.rules σελίδα man (# 667.845)
• Βελτίωση προειδοποίηση στην auditctl σχετικά αμετάβλητη κατάσταση (# 654.883)
• πίνακες Ενημέρωση syscall για τον πυρήνα 2.6.37
• Σε ausearch, επιτρέπουν την αναζήτηση για auid -1
• Προσθήκη ουρά overflow_action να audisp-τηλεχειριστήριο για να ελέγξετε υπερχειλίσεις ουρά
• Ενημέρωση κανόνες δείγμα για νέα syscalls και τα πακέτα

Τι είναι καινούργιο στην έκδοση 2.0.5:

• Ένα ζευγάρι διορθώσεις έγιναν για 32-bit συστήματα κατά τη χρήση ενός πεδίου inode σε κανόνες.
• ενημερώσεις του πίνακα syscall έγιναν για την πρόσφατη πυρήνες.
• Νέα εκδηλώσεις προστέθηκαν για την εκκίνηση των υπηρεσιών / stop και virtualization.
• Ο χειρισμός της οδηγίας αγνοούν σε auditctl ήταν σταθερό.

Τι είναι καινούργιο στην έκδοση 2.0.3:

• Πολλοί fixups αποκμακρυσμένες έγιναν, περιλαμβανομένου ενός δυναμικού πρόβλημα ασφάλειας εάν GSSAPI ήταν ενεργοποιημένη.

Τι είναι καινούργιο στην έκδοση 2.0.1:.

• getloginuid ορίστηκε για την Python bindings
• Το plugin audispd af_unix ήταν απενεργοποιημένη από προεπιλογή.
• Ένα σφάλμα σε απομακρυσμένες υλοτομία έχει καθοριστεί.
• Το σενάριο init ενημερώθηκε.
• Η σελίδα man ενημερώθηκε.