audit daemon

oudit daemon (auditd) is 'n oop bron, gratis en nie-interaktiewe daemon, 'n opdrag-lyn program wat die nodige gebruiker-ruimte gereedskap verskaf vir die skep van oudit reëls op Linux-kern gebaseer bedryfstelsels.

Die sagteware kan ook gebruik word vir die soek en die stoor van die oudit rekords wat gegenereer word deur die oudit substelsel in Linux kern 2,6 of later. Dit werk soos 'n beperkte selfstandige ouditering raamwerk op jou GNU / Linux verspreiding.

Ook bekend as die Linux Auditing Framework, was die oudit daemon projek aanvanklik geskep om die stelsel oproep ouditering verskaf sonder versterking op die bestaande funksies wat deur projekte soos SELinux.

Die program kan oop en toe oudit log lêers wat vind in die dopgehou wat in die audit_control lêer. Dit sal al die lêers in die volgorde waarin hulle is in daardie lêer en lees net oudit data van die kern te neem. Dan is dit skryf dat data om 'n oudit log lêer.

Verder, dit voer 'n script genoem audit_warn wanneer die onderskeie oudit dopgehou verby die gespesifiseerde perke geskryf in die audit_control lêer te vul. oudit daemon sal dan stuur waarskuwings aan die konsole en die audit_warn pos alias.

Om die oudit daemon op jou GNU / Linux-bedryfstelsel met behulp van die bron pakket te installeer, sal jy eers dit aflaai van die amptelike webwerf (sien die tuisblad skakel aan die einde van die artikel), behalwe die argief op jou Home gids, en pak dit met behulp van 'n argief bestuurder hulpmiddel.

In 'n terminaal skep, na die plek van die onttrek argief lêers met behulp van die waarde vir 'n CD & rsquo; opdrag (bv cd /home/softoware/audit-2.4.1), loop die waarde vir './ instel && maak & rsquo; opdrag om te stel en die program saamstel, dan loop die waarde vir 'sudo maak installeer & rsquo; opdrag om dit wye installeer stelsel

Wat is nuut in hierdie release:.

• Voeg python3 ondersteuning vir libaudit
• Cleanup auto waarskuwings
• Voeg AuParser_search_add_timestamp_item_ex om python bindings
• Voeg AuParser_get_type_name om python bindings
• Korrekte verwerking van obj_gid in auditctl (Aleksander Zdyb)
• Maak plugin config lêer parsing meer robuuste vir 'n lang lyne (# 1235457)
• Maak auditctl status druk verloor veld as unsigned getal
• Voeg interpretasie af vir auditctl s
• Voeg python3 ondersteuning biblioteek auparse
• Maak enable-zos-remote 'n bou tyd opset opsie (Clayton SHOTWELL)
• Updates vir kruis opstel (Clayton SHOTWELL)
• Voeg MAC_CHECK tipe oudit gebeurtenis
• Voeg libauparse pkgconfig lêer (Aleksander Zdyb)

Wat is nuut in die weergawe 2.4.1:

• Maak python3 ondersteuning makliker
• ondersteuning te bied vir ppc64le (Tony Jones)
• Voeg 'n paar vertalings vir a1 van ioctl stelsel noem
• Voeg opdrag & skynwerklikmaking verslae aan aureport
• Update aureport config verslag vir 'n nuwe gebeure
• Voeg rekening verandering opsomming verslag aan aureport
• Voeg GRP_MGMT en GRP_CHAUTHTOK tipes gebeurtenis

verslae
• Korrekte aureport rekening verander
• Voeg integriteit gebeurtenis verslag aureport
• Voeg config opsomming verandering verslag aureport
• Pas paar syslogging vlak instellings in audispd
• Verbeter parsing prestasie in alles
• Wanneer ausearch uitgange 'n lyn, gebruik die voorheen ontleed waardes (Brand Alting)
• Verbeter soek en vertolking groepe in gebeure
• Ten volle interpreteer die proctitle veld in auparse
• Korrekte libaudit en auditctl ondersteuning vir kern funksies
• ondersteuning te bied vir backlog_time_wait setting via auditctl
• syscall Update tafels vir die 3,18 kern
• Ignoreer DNS mislukking vir e-pos validering in auditd (# 1138674)
• Laat roteer as aksie vir space_left en disk_full in auditd.conf
• Korrekte login opsomming verslag aureport
• Auditctl syscalls kan kommas geskei lys nou
• reëls vir nuwe subsisteme en vermoëns Update

Wat is nuut in die weergawe 2.3.2:

• Sit RefuseManualStop in die regte systemd artikel (969345 # )
• Voeg nalatenskap herlaai skrifte vir systemd ondersteuning
• Voeg meer syscall argument interpretasies
• Voeg 'ontstel' sleutelwoord vir uid & gid waardes in auditctl
• In ausearch, ontleed obj in IPC rekords
• In ausearch, ontleed subj in DAEMON_ROTATE rekords
• Fix interpretasie van MQ_OPEN en MQ_NOTIFY gebeure
• In auditd, weer begin planner op SIGHUP as dit voorheen opgewonde
• In audispd, afrit toe geen aktiewe plugins opgespoor op die funksionaliteit
• In audispd, duidelike teken masker deur libev stel sodat SIGHUP werk weer
• In audispd, spoor binêre plugins en weer as binêre is opgedateer
• In audispd, seker maak dat ons seine te stuur om die korrekte proses
• In auditd, duidelike teken masker wanneer paai 'n kind proses
• In audispd maak ingeboude plugins reageer SIGHUP
• In auparse, interpreteer modus vlae van 'n oop syscall as O_CREAT is verby
• In audisp-remote, maak nie adres lookup altyd 'n permanente mislukking
• In audisp-remote, verwyder eøe gebeure meer doeltreffend
• In auditd, teken die rede wanneer e-pos rekening is nie geldig
• In audisp-remote, verandering verstek remote_ending aksie aan te sluit
• ondersteuning te bied vir Aarch64 verwerkers

Wat is nuut in die weergawe 2.2.1:

• Voeg meer interpretasies in auparse vir syscall parameters
• Voeg 'n paar interpretasies ausearch vir syscall parameters
• In ausearch / verslag en auparse toeken ekstra ruimte vir node name
• syscall Update tafels vir die 3.3.0 kern
• libev om 4.0.4 Update
• Verminder die grootte van 'n paar programme
• In auditctl, gaan gebruik teen euid eerder as uid

Wat is nuut in die weergawe 2.1.1:

• Wanneer ausearch is interpretting, uitset & quot; soos & quot ; indien geen = gevind
• Korrekte socket setup in afgeleë meld
• Aangesuiwer 'n paar standaard instellings vir afgeleë meld en init script
• Audispd was nie merk weer begin plugins as aktiewe
• Audisp-remote moet 'n vermoë hou as local_port & lt; 1024
• Wanneer audispd weer begin plugin, stuur gebeurtenis in sy voorkeur formaat
• In audisp-remote, maak al I / O asynchrone
• In audisp-remote, voeg sigusr1 hanteerder interne toestand stort
• Fix autrace korrekte syscalls gebruik op s390 en s390x stelsels
• Voeg afsluit syscall na afgeleë meld teardowns
• Korrekte autrace reël vir 32 stukkies stelsels

Wat is nuut in weergawe 2.1:

• Update auditctl man bladsy vir 'n nuwe veld op die gebruiker filter
• Fix crash in aulast wanneer auid is vreemd aan die stelsel
• Kode skoonmaak
• Voeg winkel en vorentoe model om audispd-remote (Mirek Trmac)
• Free geheue op mislukte startups in audisp-prelude
• Fix geheugenlek in aureport
• Fix parsing staat probleem in libauparse
• Verbeter die robuustheid van libaudit veld encoding funksies
• vermoë Update tafels
• In auditd maak mislukking aksie config nagaan konsekwent
• In auditd, maak seker dat NULL word nie geslaag om safe_exec
• In audisp-remote, overflow_action was nie skort indien daardie optrede is gekies
• interpretasies vir Virt gebeure Update
• Verbeter afgeleë meld waarskuwing en fout boodskappe
• interpretasies Voeg vir Netfiler gebeure

Wat is nuut in die weergawe 2.0.6:

• ausearch / verslag prestasie verbeterings
• Sinkroniseer al monster syscall reëls om aksie te gebruik, lys
• As program naam aan audit_log_acct_message, ontsnap dit
• Fix man bladsy vir die audit_encode_nv_string funksie (# 647131)
• As waarde is NULL, moenie segfault (# 647128)
• Fix eenvoudige geval parsing te aanvaar nie sessie ID kan nie laaste wees (Peng Haitao)
• ondersteuning Voeg nuwe tipe MMAP oudit gebeurtenis
• vermoë Voeg vir audispd syslog plugin om van te kies fasiliteit local0-7 (# 593340)
• Fix autrace korrekte syscalls op i386 stelsels gebruik (Peng Haitao)
• Op opstart en reconfig, kyk vir meer logs en die skakel tussen hulle
• Voeg 'n paar vermiste parser debug boodskappe
• Fix fout uitset beslegting numeriese adres en update man bladsy
• Voeg Netfiler tipes gebeurtenis
• Fix spelfout in audit.rules man bladsy (# 667845)
• Verbeter waarsku in auditctl rakende onveranderlike af (# 654883)
• syscall Update tafels vir die 2.6.37 kernel
• In ausearch, laat soek vir auid -1
• Voeg tou overflow_action tot-remote audisp om tou oorloop beheer
• Update monster reëls vir nuwe syscalls en pakkette

Wat is nuut in die weergawe 2.0.5:

• 'n paar fixes gemaak vir 32-bis stelsels by die gebruik van 'n inode veld in reëls.
• Syscall tafel updates gemaak vir onlangse pitte.
• New gebeure is bygevoeg vir die diens begin / stop en skynwerklikmaking.
• Die hantering van die ignoreer richtlijn in auditctl is vasgestel.

Wat is nuut in die weergawe 2.0.3:

• Baie afgeleë meld fixups gedoen, insluitend 'n potensiële sekuriteit probleem as GSSAPI is aangeskakel.

Wat is nuut in die weergawe 2.0.1:.

• getloginuid is vasgestel vir Python bindings
• Die audispd af_unix plugin is by verstek afgeskakel.
• 'n fout in afgeleë meld vasgestel.
• Die init script is opgedateer.
• Die man bladsy is opgedateer.