51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

如何使用auditd来监控Linux数据中心服务器上的事件?

译文
作者:布加迪编译
系统 Linux 数据中心
借助auditd,你可以更轻松地监控Linux服务器上的事件。

【51CTO.com快译】借助auditd,你可以更轻松地监控Linux服务器上的事件。

 

Linux Auditing System是便于系统管理员为数据中心服务器上的几乎每个操作创建日志规则的一种好方法。使用该系统意味着可以通过日志文件,跟踪事件、记录事件,甚至检测滥用或未经授权的活动。审查守护程序(auditd)让你可以选择监控服务器上的哪些操作(而不是监控所有操作),不会干扰标准的日志工具(比如syslog)。

auditd方面要注意的一个地方是,它实际上没有为系统添加任何额外的安全性。相反,它为你提供了跟踪服务器上出现的任何违规的方法,以便可以针对滥用行为采取操作。

有了该工具,管理员可以通过命令行创建规则,监控众多系统和服务。auditd在内核层面运行,因此你可以访问所需的任何服务。auditd系统适用于大多数Linux发行版,但我将在Ubuntu Server 18.04上演示其用法。

你需要什么?

你只需要Linux服务器(或桌面版,如果你愿意)以及拥有sudo权限的用户帐户。这些准备到位后,不妨看看auditd是如何工作的。

安装

auditd很可能已经安装在了你的计算机上。要是未安装,可以使用该命令安装它:

  1. sudo apt-get install auditd -y 

安装完毕后,确保使用以下命令来启动并启用系统:

  1. sudo systemctl start auditd 
  2. sudo systemctl enable auditd 

配置auditd

auditd的配置在单个文件中处理(而规则在一个完全独立的文件中处理)。虽然默认值足以满足大部分要求,但你可以通过执行该命令来配置系统:

  1. sudo nano /etc/audit/audit.conf 

在该文件中,你可能需要配置以下条目:

  • 日志文件的位置在log_file = /var/log/audit/audit.log这一行中配置。
  • 要在服务器上保留的日志数量在num_logs = 5这个条目中配置。
  • 在max_log_file = 8这一行配置***日志文件大小(以MB为单位)。

如果你对该配置进行了任何更改,需要使用该命令重启auditd:

  1. sudo systemctl restart auditd 

创建规则

要做的***件事是确保你从干净的状态开始入手。执行命令:

  1. sudo auditctl -l 

上述命令应显示没有规则(图A)。

 

图A:我们为auditd确保干净的状态

不妨创建一个规则,监控/etc/passwd和/etc/shadow是否有任何变化。我们想要创建规则,以便监控某个特定路径,并观察该文件的写入权限属性有无更改。换句话说,如果恶意用户更改了passwd文件和shadow文件的写入权限,将被记入日志。为此,我们将执行命令:

  1. sudo nano /etc/audit/rules.d/audit.rules 

在该文件的底部,添加以下两行:

  1. -w /etc/shadow -p wa -k shadow 
  2. -w /etc/passwd -p wa -k passwd 

对上述行分解如下:

  • -w是要关注的路径。
  • -p是要监控的权限。
  • -k是规则的键名。

至于权限,它有点类似标准Linux,增加了一项:

  • r -读取
  • w-写入
  • x-执行
  • a-文件属性(所有权或权限)的变化

在本例中,我们想查看文件的写入权限(w),看看属性(a)有无任何变化,因此我们的权限将是wa。

一旦我们添加了两个新规则,保存并关闭文件,然后使用该命令重启auditd:

sudo systemctl restart auditd

你现在应该能够通过执行该命令来查看列出的新规则(图B):

  1. sudo auditctl -l 

 

图B:我们的新规则已到位

查看auditd日志文件

可以通过执行该命令来查看auditd日志文件中的每个条目:

  1. less /var/log/audit/audit.log 

你很快会发现文件塞满了诸多条目。幸好有更简单的方法。因为我们在规则中包含了键名,我们可以使用内置的auditd搜索工具仅查看包含passwd或shadow键名的条目。想查看包含passwd键名的任何条目,执行该命令:

  1. ausearch -k passwd 

你应该会看到列出的任何条目,包含指定的键名(图C)。

 

图C:passwd键名目前为止显示了两个条目

假设你添加一个新用户(使用sudo adduser命令)。因为你需要为该用户创建密码条目(写入到/etc/passwd),它将出现在我们的ausearch -k passwd搜索命令中(图D)。

 

图D:为新用户创建了一个新密码,并使用auditd记入日志

ausearch工具功能很强大。想了解有关其用法的更多信息,务必通过man ausearch命令阅读参考手册页。

这就是在数据中心Linux服务器上使用auditd的要点。现在你有方法监控需要观察的任何系统或服务了。

原文标题:How to monitor events on your Linux data center servers with auditd,作者:Jack Wallen

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:武晓燕 来源: 51CTO
服务器监控数据中心
相关推荐
如何找到并杀死Linux数据中心服务器僵尸进程?
僵尸进程可能表明有软件问题。因此,某个进程成为僵尸进程时,你要知道该怎么做。

2019-05-09 08:00:14

Linux服务器安全僵尸网络
如何提高数据中心服务器效率
研究表明,虽然数据中心的能耗成本高昂,但服务器效率也越来越高。每个数据中心都拥有运行各种工作负载的大量服务器。无论是企业数据中心、托管数据中心还是云计算数据中心,都必须全天候运行以支持那些关键任务应用程序。

2020-06-01 10:51:54

数据中心IT技术
重新塑造数据中心服务器
服务器是现代数据中心的关键。如今云计算、社交媒体和数据分析等发展趋势正在改变对计算能力的需求,再加上对能源效率和灵活性日益增长的需求,服务器市场随之不断变化。

2017-05-28 09:00:23

数据中心服务器超融合
边缘数据中心服务器分部激增
随着运营商寻求进一步从5G部署中获利,边缘数据中心将在未来几年推动更广泛的电信服务器市场。

2022-11-16 09:49:28

数据中心服务器
数据中心服务器节能技术漫谈
每次走进数据中心机房,都能看到一望无际的机架上摆放着满满的都是服务器。在数据中心里,服务器的数量多少决定了这个数据中心的业务处理能力,而中大型的数据中心里服务器都是以数千台来计算的,按照一个机架放置10台服务器,大型数据中心就需要数百个机架。

2015-11-06 14:56:49

数据中心服务器节能
数据中心服务器机架尺寸概览
本文将与大家分享有助于实现优秀数据中心效率的服务器机架尺寸,了解这些参数为何重要、存在哪些选项以及如何选择最适合您工作负载的设备大小。

2024-01-10 07:51:02

数据中心服务器机架
数据中心服务器发展趋势
自从刀片服务器在服务器行业初露锋芒以来,总体上没有出现太大的变化。但这倒不是说,服务器制造商们没有在竭力充实各自的产品以及添加新的功能、技术和选件。

2011-07-27 14:41:26

数据中心服务器云计算
Google:Linux世界级跨数据中心服务器
性能隔离是云计算的主要挑战。不幸的是,Linux缺少对共享资源(比如:处理器缓存、存储器总线等)中性能干扰的防御;这样的话,公有云中的应用程序将无法避免来自邻居们的干扰。CPI方案使用从硬件性能计数器获得的CPI(cyclesperinstruction,平均指令周期数)数据检测问题,中断或者关闭“问题”进程从而达到预期的效果。

2013-04-24 09:07:22

GoogleLinux数据中心
数据中心服务器定制化趋势分析
今天市场上的企业数不胜数,而且随着网络时代的到来,数据成为企业越来越倚重的事物,而这也使得企业对于服务器的依赖越来越强,从另外的角度来说,如同树上没有完全相同的两片叶子一样,这些企业之间可能有些规模相似、业务雷同,但仍然有着各自不同的需求。

2012-06-01 09:48:51

数据中心服务器定制化
数据中心服务器机柜内信息点数
由于大型、中型和小型计算机的规格和信息点数量是由主机设备决定的,布线设计师是一般只是收集它们的信息点种类和数量,而不是对它们进行布线规划,因此,以下主要讨论的信息点数量主要是来自服务器机柜。

2009-02-09 17:58:00

数据中心服务器机柜
关于企业数据中心服务器机架整理
本文中,我们将为广大读者朋友们介绍关于企业数据中心服务器机架整理的相关概念,将机架定位为数据中心的气流管理设备,而非惰性商品。文章中,我们将通过定义可量化的气流泄漏的基准测试方法作为设置机架性能目标的手段,进而为大家介绍机架级别的解决方案。

2018-05-18 08:30:35

数据中心服务器机架
数据中心服务器接入部署布线方式
数据中心机房平面布局通常采用矩形结构,为了保证制冷效果,通常将10至20个机柜背靠背并排放置成一行,形成一对机柜组(又称为一个POD)。

2018-05-28 10:32:38

数据中心服务器布线
IDC:Linux助涨数据中心服务器出货量
IDC最新的一项市场数据报告显示,Linux推动着服务器硬件的市场需求。根据IDC这份最新的EMEA(欧洲、中东和非洲)ServerTracker报告,Linux是唯一实现年同比增长的操作系统,达到了6.5%实现营收7.5亿美元,占据整个市场销售的20.7%。据悉,2012第一季度Linux第二次赶超Unix,其最先超越Unix的时间是在去年的第三季度。

2012-06-11 15:03:46

Linux数据中心
数据中心服务器大战将激烈而又持久
思科进军数据中心服务器市场可以说是这场大战的导火索。作为回击,思科以前的合作伙伴开始收购思科的网络市场竞争对手。战火到处蔓延。

2011-11-04 10:03:36

数据中心服务器思科
刀片Vs机架 数据中心服务器选型测试
在数据中心计算世界中,在部署机架式服务器来运行整合或虚拟化的应用是否比部署刀片服务器更好这个问题上存在着很大的争议。

2009-07-16 14:09:50

刀片机架数据中心
机房布线之数据中心服务器接入部署
采用交换机EOR布线方式时,每个POD中的两排机柜的最边端摆放2个网络机柜,POD中所有的服务器机柜安装配线架,配线架上的铜缆延伸到POD最边端网络机柜,网络机柜中安装接入交换机。机架式服务器安装在服务器机柜中,服务器网卡通过跳线(铜缆)连接机柜中的配线架。

2012-10-29 11:03:33

机房布线数据中心服务器
如何保证数据中心服务器时间一致 · OSDI 2020
本文要介绍的是2020年OSDI期刊中的论文——Sundial:FaulttolerantClockSynchronizationforDatacenters[^1],该论文实现的Sundial可以在数据中心提供高精度的、容错的对时机制。

2021-02-23 08:32:10

服务器
厂商锁定仍是数据中心服务器绊脚石
厂商越来越倾向于把服务器当做一个整体,配套与之相适应的软硬件,而与其他的厂商不兼容。

2014-12-30 09:35:21

数据中心
探苹果里诺iCloud数据中心服务器建筑
有报道称苹果位于内华达州里诺Reno的iCloud数据中心开始兴建建筑大楼,现在已经有两座服务器建筑开始动工。位于里诺科技园区的iCloud数据中心是苹果在美国的第四大数据中心。这里是为了支持苹果iTunes、iBookstore、AppStore和iCloud服务。

2013-08-19 14:31:01

苹果iCloud数据中心
七个维护数据中心服务器安全技巧
越来越多的服务器攻击、服务器安全漏洞,以及商业间谍隐患时刻威胁着服务器安全。服务器的安全问题越来越受到关注。我们要如何保障服务器的安全呢

2012-08-24 09:36:05

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服