audit daemon

tarkastuksen daemon (auditd) on avoimen lähdekoodin, ilmainen ja ei-vuorovaikutteisia daemon, komentorivin ohjelma, joka tarjoaa tarvittavat käyttäjän tila työkaluja luotaessa tarkastuksen säännöistä Linux kernel-pohjaisia ​​käyttöjärjestelmiä.

Ohjelmisto voi myös käyttää etsimiseen ja tallentamiseen seurantatietueita että kertyi tarkastuksen osajärjestelmän Linux-ytimen 2.6 tai uudempi. Se toimii rajoitetun itsenäisenä tilintarkastus puitteet GNU / Linux-jakelu.

Tunnetaan myös Linux Tilintarkastus Framework, tilintarkastus daemon hanke alun perin perustettu tarjoamaan järjestelmä soittaa tarkastuksen astumatta olemassa olevia toimintoja tarjoamia hankkeita kuten SELinuxia.

ohjelma voi avata ja sulkea valvontalokin tiedostot löytää kansioita määritetty audit_control tiedostoon. Se vie kaikki tiedostot siinä järjestyksessä kuin ne on määritelty kyseisen tiedoston ja lukee vain tarkastuksen tietoja ytimen. Sitten se kirjoittaa, että tiedot tilintarkastuksen lokitiedosto.

Lisäksi se suorittaa script kutsutaan audit_warn kun vastaava tarkastuksen kansiot täyttää ohi määriteltyjen rajojen kirjoitettu audit_control tiedostoon. tilintarkastus daemon sitten lähettää varoituksia konsoliin ja audit_warn postialias.

Jos haluat asentaa tarkastuksen daemon GNU / Linux-käyttöjärjestelmässä lähdepaketista, sinun täytyy ensin ladata sen virallisella verkkosivustollaan (katso kotisivulta linkki lopussa artikkelin), tallenna arkisto Koti hakemiston, ja pura se käyttäen arkiston johtaja työkalu.

pääte-emulaattori, siirry sijainti puretut arkistoja & lsquo; CD & rsquo; komento (esim cd /home/softoware/audit-2.4.1), suorita & lsquo; ./ Määritä && tehdä & rsquo; komento määrittää ja kääntää ohjelman, suorita & lsquo; sudo make install & rsquo; komento asentaa sen koko järjestelmän.

Mikä on uusi tässä julkaisussa:

• Lisää python3 tukea libaudit
• uudelleenjärjestäminen automake varoituksia
• Lisää AuParser_search_add_timestamp_item_ex python siteet
• Lisää AuParser_get_type_name python siteet
• oikea käsittely obj_gid vuonna auditctl (Aleksander Zdyb)
• Tee plugin config tiedosto jäsentämiseen vakaampi pitkään linjat (# 1235457)
• Tee auditctl tila painatuksen menetetty kentältä allekirjoittamaton määrä
• Lisää tulkinta tila auditctl -s
• Lisää python3 tukea auparse kirjastoon
• Tee enable-ZOS-kauko käännösaikana asetusvalitsin (Clayton Shotwell)
• Päivitykset rajat kääntämiseen (Clayton Shotwell)
• Lisää MAC_CHECK tarkastuksen tapahtuma tyyppi
• Lisää libauparse pkgconfig tiedosto (Aleksander Zdyb)

Mikä on uusi versiossa 2.4.1:

• Tee python3 tuki helpompaa
• Lisää tukea ppc64le (Tony Jones)
• Lisää joitakin käännöksiä A1 ioctl systeemikutsuja
• Lisää Command & virtualisointi raportit aureport
• Päivitä aureport config raportin uusia tapahtumia
• Lisää tili muutos yhteenvetoraportti aureport
• Lisää GRP_MGMT ja GRP_CHAUTHTOK tapahtuma tyypit
• Korjaa aureport tili muutos raportit
• Lisää eheys tapahtumaraportin aureport
• Lisää config muutos yhteenvetoraportti aureport
• Säädä jotkut syslogging tason asetuksia audispd
• Paranna jäsentämiseen suorituskyky kaikessa
• Kun ausearch tuottaa linja, käytä aiemmin jäsentää arvot (Burn Alting)
• Parantaa etsimistä ja tulkkaus ryhmien tapahtumiin
• Täysin tulkita proctitle kentän auparse
• Korjaa libaudit ja auditctl tukea ytimen ominaisuuksista
• Lisää tukea backlog_time_wait asetus kautta auditctl
• Päivitä syscall taulukoita 3,18 ytimen
• Ignore DNS-virhe sähköpostin validointi auditd (# 1138674)
• Salli kiertävät kanteen space_left ja disk_full vuonna auditd.conf
• Korjaa kirjautuminen yhteenvetoraportti aureport
• Auditctl syscalls voi olla pilkulla erotettuna nyt
• Päivitä säännöt uusien osajärjestelmien ja ominaisuuksia

Mikä on uusi versiossa 2.3.2:

• Aseta RefuseManualStop oikeaan systemd osassa (# 969345 )
• Lisää perintö uudelleenkäynnistys skriptit systemd tukea
• Lisää enemmän syscall väite tulkinnat
• Lisää "katkaistulla" avainsanan uid ja gid arvot auditctl
• ausearch, jäsentää obj IPC Records
• ausearch, jäsentää SUBJ vuonna DAEMON_ROTATE Records
• Korjaa tulkinta MQ_OPEN ja MQ_NOTIFY tapahtumia
• auditd, uudelleenkäynnistys lähettäjä on SIGHUP jos se oli aiemmin poistunut
• audispd, poistu kun mitään aktiivista liitännäiset havaitaan reconfigure
• audispd, selkeä signaali maski asettamassa libev jotta SIGHUP toimii jälleen
• audispd, seurata binary ampua ja käynnistä jos binaarinen päivitettiin
• audispd, varmista lähetämme signaaleja oikea prosessi
• auditd, selkeä signaali maski kun kutu tahansa lapsi prosessi
• audispd, tehdä sisäänrakennettu plugins vastata SIGHUP
• auparse, tulkita tila liput auki syscall jos O_CREAT johdetaan
• audisp-kauko, eivät tee osoitehakutaulu aina pysyvä vika
• audisp-kauko, poista EOE tapahtumia tehokkaammin
• auditd, kirjaudu syy kun sähköpostitili ei kelpaa
• audisp-kauko, muutos oletus remote_ending toimia uudelleen
• Lisää tukea Aarch64 jalostajille

Mikä on uusi versiossa 2.2.1:

• Lisää enemmän tulkintoja auparse varten syscall parametrien
• Lisää joitakin tulkintoja ausearch varten syscall parametrien
• ausearch / raportti ja auparse, jakaa lisätilaa solmujen nimet
• Päivitä syscall taulukot 3.3.0 ytimen
• Päivitä libev ja 4.0.4
• Pienennä jotkin sovellukset
• auditctl, tarkistaa käytön vastaan ​​euid sijaan UID

Mikä on uusi versiossa 2.1.1:

• Kun ausearch on interpretting, tuotanto & quot; kuin on & quot ; jos ei = löytyy
• Korjaa pistorasia setup etälokiinkirjauksen
• osakeantioikaistu pari oletusasetukset etälokiinkirjauksen ja initskripti
• Audispd ei merkintää uudelleen lisäosia aktiivisina
• Audisp-kauko olisi pidettävä valmiudet jos local_port & lt; 1024
• Kun audispd käynnistyy uudelleen plugin, lähettää tapahtuma sen edullisessa muodossa
• audisp-kauko, tehdä kaikki I / O asynkroninen
• audisp-kauko, lisätä sigusr1 käsittelijä dumpata sisäisen tilan
• Korjaa autrace käyttää oikeita syscalls päälle s390 ja s390x järjestelmät
• Lisää shutdown syscall kauko puunkorjuu purku
• Oikea autrace sääntö 32 bittiä järjestelmien

Mikä on uusi versio 2.1:

• Päivitä auditctl man-sivulta uusi kenttä käyttäjän suodatin
• Korjaa onnettomuudessa aulast kun auid on vieras järjestelmään
• Koodi puhdistuksia
• Lisää tallentaa ja eteenpäin malli audispd-kauko (Mirek Trmac)
• Vapaa muisti epäonnistui startups audisp-alkusoittoa
• Fix muistivuoto aureport
• Korjaa jäsentämiseen valtion ongelma libauparse
• Parantaa luotettavuutta libaudit kentän koodaus toimintoja
• Päivitä valmiudet taulukot
• auditd, tehdä vika toiminta config tarkkailun johdonmukainen
• auditd, tarkista, että NULL ei siirrellään safe_exec
• audisp-kauko, overflow_action ei keskeyttää jos tämä kanne on valittu
• Päivitä tulkinnat virt tapahtumia
• Paranna etälokiinkirjauksen varoitus- ja virheilmoituksia
• Lisää tulkinnat netfilter tapahtumia

Mikä on uusi versiossa 2.0.6:

• ausearch / raportti suorituskyvyn parannuksia
• Synkronoi kaikki näyte syscall säännöt käyttää toimiin, lista
• Jos ohjelman nimi annetaan audit_log_acct_message, paeta sitä
• Korjaa man-sivulta audit_encode_nv_string toiminto (# 647131)
• Jos arvo on tyhjä, älä segfault (# 647128)
• Korjaa yksinkertainen tapahtuma jäsentämiseen ja oleta Session ID ei voi olla viimeinen (Peng Haitao)
• Lisää tukea uusille mmap tarkastuksen tapahtuma tyyppi
• Lisää kyky audispd syslog plugin valita laitos local0-7 (# 593340)
• Korjaa autrace käyttää oikeita syscalls i386 järjestelmissä (Peng Haitao)
• käynnistys ja KONFIG, tarkista liikaa lokit ja linkitys niitä
• Lisää pari puuttuva jäsennin debug viestejä
• Korjaa virheen ulostulo ratkaista numeerinen osoite ja päivittää mies sivu
• Lisää netfilter tapahtuma tyypit
• Korjaa kirjoitusvirhe vuonna audit.rules man-sivulta (# 667845)
• Paranna varoitus auditctl osalta muuttumaton tila (# 654883)
• Päivitä syscall taulukoita 2.6.37 kernel
• ausearch, voi etsiä auid -1
• Lisää jonoon overflow_action kohteeseen audisp-kaukosäätimen ohjaamaan jono ylivuodot
• Päivitä näyte säännöt uusien syscalls ja paketit

Mikä on uusi versiossa 2.0.5:

• Pari korjauksia tehtiin 32-bittinen järjestelmät käytettäessä inode kentän sääntöjä.
• Syscall pöytä päivitykset tehtiin viime ytimiä.
• Uudet tapahtumat lisättiin huoltoa start / stop ja virtualisointi.
• käsittelyä sivuuttaa direktiivin auditctl on vahvistettu.

Mikä on uusi versiossa 2.0.3:

• Monet etälokiinkirjauksen fixups tehtiin, mukaan lukien mahdollinen turvallisuus ongelma, jos GSSAPI oli käytössä.

Mikä on uusi versiossa 2.0.1:

• getloginuid vahvistettiin Python siteet.
• audispd af_unix plugin on poistettu oletusarvoisesti.
• bugi etälokiinkirjauksen on vahvistettu.
• initskripti päivitettiin.
• man-sivulta päivitettiin.