audit daemon

audit daemon (auditd) je open source, zdarma a non-interactive daemon, program příkazového řádku, který poskytuje nezbytné user-space nástroje pro vytváření pravidel auditu v operačních systémech Linux založené na jádru.

Tento software lze také použít pro vyhledávání a uložení záznamů auditu, které byly vytvořeny v rámci subsystému auditní Linuxové jádro 2.6 nebo novější. Funguje to jako omezená samostatný auditu rámce pro vaší distribuci GNU / Linuxu.

Také známý jako Linux Auditing rámce, audit démon projekt byl původně vytvořen s cílem poskytnout audit systém volání bez šlápnutí na stávající funkce poskytované v rámci projektů jako SELinux.

Program umí otevírat a zavírat protokolu auditu soubory, které jsou si ve složkách určených v souboru audit_control. Bude to trvat všechny soubory v pořadí, v jakém jsou specifikovány v tomto souboru a přečte pouze data auditu z jádra. Potom se píše, že data do souboru s protokolu auditu.

Kromě toho, že spustí skript s názvem audit_warn kdy příslušné složky auditu vyplnit kolem stanovené limity napsaných v souboru audit_control. audit démon pak pošle upozornění na konzole a do audit_warn mailový alias.

Chcete-li nainstalovat auditu démona na vašem operačním systému GNU / Linux s využitím zdrojového balíčku, musíte ji nejprve stáhnout ze svých oficiálních internetových stránkách (viz odkaz domovské stránky na konci článku), archiv uložit na váš domov adresář, a rozbalte ho pomocí správce archivů nástroj.

V emulátor terminálu, přejděte do umístění extrahované archivních souborů pomocí & lsquo; CD & rsquo; Příkaz (např cd /home/softoware/audit-2.4.1), spusťte & lsquo; ./ configure && make & rsquo; Příkaz ke konfiguraci a sestavit program, a pak spustit & lsquo; sudo make install & rsquo; Příkaz k instalaci systému IT široký

Co je nového v této verzi:.

• Přidat podpora python3 pro libaudit
• upozornění Vyčištění automake
• Přidat AuParser_search_add_timestamp_item_ex do Pythonu
• Přidat AuParser_get_type_name do Pythonu
• Správné zpracování obj_gid v AUDITCTL (Aleksander Zdyb)
• Zkontrolujte, plugin konfigurační soubor parsování robustnější pro dlouhé fronty (# 1235457)
• Zkontrolujte, stav AUDITCTL tisk ztratil pole jako unsigned číslo
• Přidat režim tlumočení pro AUDITCTL -s
• Přidat podporu python3 do auparse knihovna
• Zkontrolujte, --enable-zos-vzdálenou možnost konfigurace build čas (Clayton Shotwell)
• Aktualizace pro křížové kompilace (Clayton Shotwell)
• Přidat MAC_CHECK typ auditu události
• Přidat libauparse pkgconfig soubor (Aleksander Zdyb)

Co je nového ve verzi 2.4.1:

• Zkontrolujte, podpora python3 snadnější
• Přidat podporu pro ppc64le (Tony Jones)
• Přidejte některé překlady pro A1 ioctl systémových volání
• Přidat Command & virtualizační zprávy, které mají aureport
• Aktualizace aureport config zpráva pro nové události
• Přidat účet souhrnnou úprava zprávu aureport
• Přidat GRP_MGMT a GRP_CHAUTHTOK typy událostí

Zprávy
• Správné aureport změnit účet
• Přidat zprávu pro pořádání akcí, integrita aureport
• Přidat config souhrnnou zprávu změna aureport
• upravit některá nastavení úrovně syslogging v audispd
• Zlepšení výkonu parsování ve všem,
• Při ausearch výstupy řádek, používat dříve parsované hodnoty (Vypálit Alting)
• Zlepšit vyhledávání a tlumočení skupiny akcí
• Plně interpretovat proctitle pole v auparse
• Správné libaudit a podpora AUDITCTL pro funkce jádra
• Přidat podporu pro backlog_time_wait nastavení pomocí AUDITCTL
• Aktualizace syscall stoly pro jádra 3.18
• Ignorovat selhání DNS pro ověření e-mailu v auditd (# 1138674)
• Povolit střídají žalobě na space_left a disk_full v auditd.conf
• Správné login souhrnná zpráva o aureport
• AUDITCTL syscalls může být seznam oddělený čárkami teď
• Aktualizovat pravidla pro nové subsystémy a možnostmi

Co je nového ve verzi 2.3.2:

• Dejte RefuseManualStop v pravé části systemd (# 969345 )
• Přidat odkaz restart skripty pro systemd podporu
• Přidat další syscall argumentů interpretace
• Přidat 'unset' klíčové slovo pro uid a gid hodnot AUDITCTL
• V ausearch, analyzovat obj v evidenci IPC
• V ausearch, analyzovat Subj v DAEMON_ROTATE záznamů
• Fix interpretace MQ_OPEN a MQ_NOTIFY událostí
• V auditd, restart dispečer na SIGHUP, když to předtím vystoupil
• V audispd, exit-li žádné aktivní pluginy detekován na překonfiguruje
• V audispd, jasný maska ​​signál nastavuje libev takže SIGHUP znovu pracuje
• V audispd, sledovat binární pluginy a restartovat, pokud binární byl aktualizován
• V audispd, ujistěte se, že jsme se vysílají signály do správného procesu
• V auditd, jasný signál maska ​​při tření žádný podřízený proces
• V audispd, aby BUILTIN pluginy reagovat na SIGHUP
• V auparse, interpretovat režim vlajkami otevřeného syscall, pokud je předán O_CREAT
• V audisp-dálkový, nedělají vyhledávání adres vždy trvalá selhání
• V audisp-remote, účinněji odstranit EOE události
• V auditd, přihlaste důvod, pokud e-mailový účet není platný
• V audisp-remote, změnit výchozí remote_ending akci připojit
• Přidat podporu pro procesory Aarch64

Co je nového ve verzi 2.2.1:

• Přidat další výklady v auparse pro parametry syscall
• Přidejte některé výklady ausearch parametrů syscall
• V ausearch / zprávy a auparse, přidělit další prostor pro názvy uzlů,
• Aktualizace syscall stoly pro jádro 3.3.0
• Aktualizace libev na 4.0.4
• Zmenšit velikost některých aplikací
• V AUDITCTL, zkontrolovat využití proti EUID spíše než uid

Co je nového ve verzi 2.1.1:

• Pokud je ausearch interpretting, výstup & quot; jako je & Quot ; pokud žádné = nalezen
• Správné nastavení zásuvka ve vzdáleném logování
• Po očištění pár Výchozí nastavení pro vzdálenou těžby dřeva a init skriptu
• Audispd nebylo označení nerestartovali pluginy jako aktivní
• Audisp-remote by měl mít schopnost pokud local_port & lt; 1024
• Při audispd restartování plugin, poslat událost v jeho preferovaný formát
• V audisp-remote, aby všechny I / O asynchronní
• V audisp-remote, přidejte obslužnou SIGUSR1 vypsat vnitřní stav
• Fix autrace používat správné systémová volání na s390 a s390x systémů
• Přidat vypnutí systémové volání do vzdálených protokolování teardowns
• Správné autrace pravidlo na 32-bitových systémech

Co je nového ve verzi 2.1:

• Aktualizace AUDITCTL man stránka pro nové pole na uživatelskou filtru
• Fix pád v aulast kdy auid je cizí systému
• Kód pročištění
• Přidat obchod a dopředu model audispd-remote (Mirek Trmač)
• Volná paměť o neúspěšných startech v audisp-předehra
• nevracení Fix paměti aureport
• Fix rozebrat státní problém libauparse
• zvýšit odolnost kódování libaudit pole funkcí
• tabulky schopností Aktualizovat
• V auditd, aby akční selhání config kontrolu konzistentní
• V auditd, zkontrolujte, zda je NULL není předán safe_exec
• V audisp-remote, overflow_action nebyl pozastavení, pokud byl vybrán, že činnost
• Aktualizace interpretace pro Virt události
• Zlepšit vzdálené varování těžby a chybové zprávy
• Přidat výklady netfilteru události

Co je nového ve verzi 2.0.6:

vylepšení
• ausearch / Zpráva o
• Synchronizovat všechna pravidla vzorek syscall použít akci, seznam
• Pokud název programu připravili audit_log_acct_message, uniknout
• Fix man stránka pro funkci audit_encode_nv_string (# 647131)
• Pokud je hodnota NULL, nemají segfault (# 647128)
• Fix jednoduchou akci rozebrat na nenese Session ID nemůže být poslední (Peng Haitao)
• Přidat podporu pro nový typ mmap audit události
• Přidat možnost pro audispd syslog plugin pro výběr zařízení local0-7 (# 593340)
• Fix autrace používat správné systémová volání na systémech i386 (Peng Haitao)
• Při spuštění a reconfig, zkontrolujte, zda za překročení logů a odpojit je
• Přidat pár chybějící parser debug zprávy
• error Fix výstupní řešení číselnou adresu a aktualizace manuálové stránky
• Přidat netfilteru typy událostí
• Opravit pravopisné chyby v audit.rules manuálové stránce (# 667845)
• Zlepšit varování v AUDITCTL o nezměnitelné režimu (# 654883)
• Aktualizace syscall stoly pro jádra 2.6.37
• V ausearch, aby hledal auid -1
• Přidat fronty overflow_action do audisp-dálkový ovladač fronty přetečení
• ukázkové pravidla aktualizací pro nové syscalls a balení

Co je nového ve verzi 2.0.5:

• Několik oprav byly vyrobeny pro 32-bit Systémy Při použití inode pole v pravidlech.
• Aktualizace stolní syscall byly provedeny za posledních jader.
• byly přidány nové události pro start služby / stop a virtualizace.
• manipulaci s Ignorovat direktivu v AUDITCTL byla opravena.

Co je nového ve verzi 2.0.3:

• Mnoho dálkové těžby fixups bylo provedeno, včetně potenciálu bezpečnostní problém, pokud GSSAPI bylo povoleno.

Co je nového ve verzi 2.0.1:.

• getloginuid byla stanovena na Pythonu
• audispd AF_UNIX plugin byl zakázán ve výchozím nastavení.
• Chyba v dálkovém těžbě dřeva byla opravena.
• init skript byl aktualizován.
• Man stránka byla aktualizována.