audit daemon

одит демон (auditd) е с отворен код, свободен и не-интерактивна услуга, програма за команден ред, който осигурява необходимите потребителското пространство инструментите за създаване на правила за одит на Linux базирани на ядрото операционни системи.

Софтуерът може да се използва за търсене и съхраняване на регистрите за одит, които са били генерирани от подсистемата одит в Linux ядрото 2.6 или по-късно. Тя работи като самостоятелен ограничена рамка за одит на вашата дистрибуция на GNU / Linux.

Също известен като Linux одит рамка, проектът на одитния демон първоначално беше създаден, за да осигури система за повикване одит, без да стъпва на съществуващата функционалност, предоставена от проекти като SELinux.

Програмата може да отваряте и затваряте одит лог файлове, които се намират в папките, посочени в досието audit_control. Това ще отнеме всички файлове в реда, в който са посочени в този файл и чете само данни за одит от ядрото. След това, той пише, че данните на одит лог файл.

Освен това, той изпълнява скрипт, наречен audit_warn когато съответните одитни папките изпълват миналото определените граници, написани на файла audit_control. След одит демон ще изпрати предупреждения към конзолата и да псевдонима на audit_warn поща.

За да инсталирате одит демона на вашата GNU / Linux операционна система, която използва пакета с изходния код, ще трябва първо да го изтеглите от официалния си уебсайт (виж линка страница в края на статията), с изключение на архива на вашия Home директория, и да го разопаковам, използвайки архив инструмент за управление.

В терминален емулатор, отидете до местоположението на добитите файл използвайки & lsquo; CD & rsquo; команда (например CD /home/softoware/audit-2.4.1), стартирайте & lsquo; ./ конфигуриране && направи & rsquo; команда, за да изберете и да съставят програмата, след това пуснете & lsquo; Sudo да инсталирате & rsquo; команда, за да го инсталирате в цялата система

Какво ново в тази версия:.

• Добави python3 подкрепа за libaudit
• предупреждения Cleanup automake
• Добави AuParser_search_add_timestamp_item_ex да питон автомати
• Добави AuParser_get_type_name да питон автомати
• Правилно обработка на obj_gid в auditctl (Aleksander Zdyb)
• Направи плъгин конфигурационния файл разбор по-стабилна за дълги линии (# 1235457)
• Направи статут auditctl печат загубил поле като неподписан брой
• Добави режим интерпретация за auditctl -s
• Добави подкрепа python3 да auparse библиотека
• Направи --enable-zos-отдалечената опция за конфигурация натрупване време (Clayton Shotwell)
• Updates за кроскомпилирането (Clayton Shotwell)
• Добави MAC_CHECK тип одит събитие
• Добави libauparse pkgconfig файл (Aleksander Zdyb)

Какво ново във версия 2.4.1:

• Направи подкрепа python3 лесно
• Добави подкрепа за ppc64le (Tony Jones)
• Добавяне на някои преводи за a1 на IOCTL система призовава
• Добави командни и виртуализация доклади да aureport
• Актуализация aureport довереник доклад за новите събития
• Добавяне на профил обобщение модификация доклад aureport
• Добави GRP_MGMT и GRP_CHAUTHTOK видове събития

доклади
• промени профила Правилно aureport
• Add доклад целостта събитие да aureport
• Добави довереник обобщен доклад до промяна aureport
• Регулиране някои настройки на ниво syslogging в audispd
• Подобряване разбор представяне във всичко
• Когато ausearch извежда ред, използват по-рано анализирани стойности (Burn Alting)
• Подобряване търсите и тълкуване групи в събития
• Напълно тълкува поле proctitle в auparse
• Правилно libaudit и auditctl подкрепа за функции на ядрото
• Добави подкрепа за backlog_time_wait настройка чрез auditctl
• Актуализация syscall маси за 3.18 ядрото
• Игнорирай DNS провал за валидиране имейл в auditd (# 1138674)
• Разрешаване на ротационен принцип, както за действие за space_left и disk_full в auditd.conf
• Правилно обобщение вход доклад на aureport
• Auditctl syscalls могат да бъдат разделени със запетая списък сега
• правила актуализиране за нови подсистеми и възможности

Какво ново във версия 2.3.2:

• Сложете RefuseManualStop в правилната systemd секция (# 969345 )
• Добавяне на старо рестартиране скриптове за systemd подкрепа

<> Li добави още аргументи syscall интерпретации
• Add "изключено" дума за UID и GID ценности в auditctl
• В ausearch, OBJ разбор в IPC записи
• В ausearch, разбор на субекта в DAEMON_ROTATE записи
• Fix тълкуване на MQ_OPEN и MQ_NOTIFY събития
• В auditd, рестартиране диспечер на SIGHUP ако преди това са излезли
• В audispd, изход, когато няма активни плъгини се открива на преконфигуриране
• В audispd, ясен сигнал, маска, определен от libev така че SIGHUP работи отново
• В audispd, следите двоични плъгини и рестартирайте ако двоичен е актуализиран
• В audispd, уверете се, ние изпращаме сигнали към правилния процес
• В auditd, ясен сигнал, маска, когато размножаване всеки процес дете
• В audispd, правят вградените плъгини реагират на SIGHUP
• В auparse, тълкува режим флагове на открито syscall ако O_CREAT се предава
• В audisp-дистанционно, не правете адрес за справка винаги постоянен неуспех
• В audisp-дистанционно, премахнете Ëœ събития по-ефективно
• В auditd, влезте причината, когато имейл акаунт не е валидна
• В audisp-дистанционно, промяна подразбиране действие remote_ending да се свърже отново
• Добави подкрепа за Aarch64 процесори

Какво ново във версия 2.2.1:

• Добави още интерпретации в auparse за syscall параметри
• Add някои тълкувания да ausearch за syscall параметри
• В ausearch / доклад и auparse, разпредели допълнително пространство за имена на възли
• Актуализация syscall маси за ядрото 3.3.0
• Актуализация libev да 4.0.4
• Намаляване на размера на някои приложения
• В auditctl, проверете ползване срещу EUID отколкото UID

Какво ново във версия 2.1.1:

• Когато ausearch се interpretting, изход и, както се е & quot ; Ако не се намери =
• правилната настройка гнездо в дистанционно сеч
• Коригирана настройки няколко подразбиране за дистанционно сеч и първоначален скрипт
• Audispd не беше маркировка рестартирани плъгини като активно
• Audisp-дистанционно трябва да поддържа капацитет, ако local_port & LT; 1024
• Когато audispd рестартира плъгин, изпратете събитие в предпочитан формат
• В audisp-дистанционно, направи всичко, I / O асинхронен
• В audisp-дистанционно, добави sigusr1 манипулатор да зареже вътрешно състояние
• Fix autrace да използвате правилните syscalls на s390 и s390x системи
• Добави изключване syscall до отдалечени сеч teardowns
• Правилно autrace правило за 32 бита системи

Какво ново във версия 2.1:

• Актуализация auditctl мъж страница за ново поле на потребителското филтър
• Fix катастрофа в aulast когато auid е чужд на системата
• Код почистване на бреговата
• Добавяне на склад и с нетърпение модел да audispd-отдалечената (Мирек Trmac)
• Свободна памет относно неуспешни начинания в audisp-прелюдия
• Fix памет течове в aureport
• Fix разбор състояние проблем в libauparse
• Подобряване на надеждността на поле libaudit кодиране функции
• маси способности Актуализация
• В auditd, направи действия недостатъчност довереник проверка последователно
• В auditd, проверете дали NULL не се предава на safe_exec
• В audisp-дистанционно, overflow_action не е суспендиране, ако е бил избран, че действията на
• Актуализиране интерпретации за Virt събития
• Подобряване дистанционно сеч предупреждение и съобщения за грешки
• Добави интерпретации за Netfilter събития

Какво ново във версия 2.0.6:

подобрения
• ausearch / доклад за изпълнение
• Синхронизиране на всички правила проба syscall да използвате действие, списък
• Ако име на програма, предвидена да audit_log_acct_message, избяга тя
• Fix мъж страница за функцията на audit_encode_nv_string (# 647131)
• Ако стойност е NULL, не segfault (# 647128)
• Fix проста събитие разбор да не приемем сесия номер не може да бъде последната (Peng Haitao)
• Добави подкрепа за нов тип mmap одит събитие
• Добавяне на способността за audispd Syslog плъгин да избере съоръжение local0-7 (# 593340)
• Fix autrace да използвате правилните syscalls за i386 системи (Peng Haitao)
• При стартиране и reconfig, проверете за извънредно количество трупи и ги прекратите връзката
• Добавяне на няколко липсващи анализатор отстраняване на грешки съобщения
• изход Fix грешка решаването цифров адрес и актуализация мъж страница
• Добавяне Netfilter видове събития
• Fix Правописна грешка в audit.rules мъж страница (# 667845)
• Подобряване на предупреждение в auditctl отношение неизменни режим (# 654883)
• Актуализация syscall маси за 6.2.37 ядрото
• В ausearch, позволява да търсите auid -1
• Добавяне на опашка overflow_action да audisp-дистанционно за контрол на опашките залято
• правила за актуализация на пробите за нови syscalls и пакети

Какво ново във версия 2.0.5:

• Няколко поправки са направени за 32-битов системи при използване на една област на възела в правила.
• актуализации Syscall маса бяха направени за последните ядки.
• Нови събития бяха добавени за старт услуги / стоп и виртуализация.
• Обработката на директивата игнорират в auditctl е фиксиран.

Какво ново във версия 2.0.3:

• Много дистанционно сеч fixups са били извършени, включително потенциален проблем за сигурността, ако GSSAPI е включен.

Какво ново във версия 2.0.1:.

• getloginuid е била определена за Python автомати
• audispd AF_UNIX Приставката е изключена по подразбиране.
• Бъг в дистанционно сеч е била определена.
• Скриптът първоначален бе актуализиран.
• Страницата мъж бе актуализиран.