【操作系统】安全审计?操作系统的安全审计通常用来做什么

【操作系统】安全审计 审计日志-字段分析
type:audit消息类型,消息类型有100多种(具体查看请点击:audit消息类型) 比较常见有SYSCALL&#xff1

审计日志字段分析

type:审计消息类型。有超过100 种消息类型(单击审核消息类型了解更多信息)

更常见的是SYSCALL。这意味着该记录是由对内核的系统调用触发的。 msg:消息ID。分号之前是Unix时间戳,分号之后是实际的事件ID(同一应用程序内的相同系统调用具有相同的事件ID)。不同的系统调用是不同的。 ) Arch: 调用系统调用的CPU 架构syscall:系统调用的类型(可以使用ausyscall –dump 查看所有系统调用) success:显示系统调用是成功还是失败comm:任务列表,应用程序名称。 exe:二进制程序解析路径。 ses:用户登录会话ID。auid:审核ID。对于给定的用户,会为进程分配一个审核ID,并且当用户在系统内切换时,审核ID 会传递给子进程。始终保持一致。 这样您就可以跟踪特定用户。 a0 到a3:系统调用的前四个参数的编号。可以在ausearch解码项中显示。 Item:传递给应用程序的字符串数ppid:父进程的PID pid:进程的PIDuid:用户ID。 gid: 组ID。 euid、suid、fsuid: 有效用户ID、配置用户ID、文件系统用户ID。 egid、sgid、fsgid: 有效组ID、配置组ID 和文件系统组ID。 tty: 应用程序打开的终端(在本例中为伪终端)- SSH 会话中使用的终端。

附录1:auditctl -h

[auditadm@localhost ~]$ Auditctl -h

use: Auditctl [可选]

-a l,a 将带有操作的规则添加到列表末尾

-A l,a 将包含操作的规则添加到列表顶部

-b backlog 设置未完成审核缓冲区的最大数量

允许默认值=64

-c 规则中出现错误时继续

-C f=f 比较收集的字段(如果有):

字段名称、运算符(=、=)、字段名称

-d l,a 通过操作从列表中删除规则

l=任务、结束、用户、排除

a=从不、总是

-D 删除所有规则和监视

-e [0.2] 设置启用标志

-f [0.2] 设置失败标志

0=沉默1=打印2=恐慌

-F f=v 规则: 构造字段名,操作符(=,=,=,

=,=) 值

-h 帮助

-i 从文件读取规则时忽略错误

-k key 设置审核规则的过滤键。

-l 显示规则列表

-m text 发送用户空间消息

-p [r|w|x|a] 在手表上设置权限过滤器

r=读取、w=写入、x=执行、a=属性

-q mount,subtree 使子树成为挂载点目录监视的一部分

-r 速率设置消息/秒限制(0=无)

-R 从文件中读取规则

-s 报告状态

-S syscall 构建规则: 系统调用名称或编号

–signal signal 将指定的信号发送到守护进程。 -t 修剪目录监视。

-v版本

-w path 在路径上插入监视

-W path 删除路径监控

–loginuid-immutable 登录ID一旦设置,就无法更改

–backlog\\_wait\\_time 设置内核backlog_wait_time。

–reset-lost 重置丢失记录计数器。

附录2:systemcall 类型

在网上搜索时,很多人说他们指的是这个文件https://github.com/torvalds/linux/blob/master/arch/sh/include/asm/unistd.h。

# 不同系统之间存在差异

# 下面只是一个例子,数字代表类型的值

$ ausyscall –dump

使用aarch64 系统调用表:

0io_设置

1io_销毁

2io_提交

3io_取消

4io_getevents

5setx属性

6lsetx属性

7fsetx属性

8getxattr

9lgetxattr

10fgetxattr

11列表属性

12llistx属性

13flistx属性

14 删除属性

15lremovexattr 删除属性

16fremovexattr 16

17getcwd

18lookup_dcookie

19 事件FD2

20epoll_创建1

21epoll_ctl

22epoll_pwait

23dup

24dup3

25fcntl

26inotify_init1

27inotify_add_watch

28inotify_rm_watch

29ioctl

30ioprio_set

31ioprio_get

32 牛群

33 米诺达特

340,000 迪拉特

35 取消链接剪切

36 个符号链接

37 链接切断

38 重命名

39 安装2

40座

41 枢轴路线

42nfsservctl

43 状态

44fstatfs

45 减少

46英尺截断

47 法罗卡特

48楼访问

49ch目录

50fch目录

51chroot

52fchmod

53fchmodat

54f 胡桃木

55fchown

56开式螺母

57 关闭

58 面包车挂机

59管2

60个季度

61 得到凹痕

62l 寻找

63 读

64 写入

65readv

66写v

67 面包

68p写入

69 前瞻

70p写v

71 发送文件

72p选择6

73极

74 信号fd4

75vm接头

76 接头

77 球座

78 个阅读链接

79 新状态

80新fstat

81同步

82f同步

83f数据同步

84 同步文件范围

85timerfd_创建

86timerfd_设置时间

87timerfd_获取时间

88小时卫星

89帐户

获得90 个上限

91帽套

92 个性

93 退出

94 退出组

95 等待ID

96set_tid_地址

97 取消分享

98ftex

99set_robust_列表

100get_robust_列表

101纳米睡眠

102 获取定时器

103设定定时器

104kexec_load

105init_模块

106模块拆卸

107 定时器_创建

108timer_获取时间

109 Timer_Get 溢出

110 Timer_设置时间

111 定时器_删除

112 时钟设定时间

113 时钟_获取时间

114 时钟没了

115 时钟_纳米睡眠

116系统日志

117分比赛

第118章

119sched_setscheduler 119sched_setscheduler

120sched_getscheduler 120sched_getscheduler

121 sched_getparam

122sched_setaffinity 122sched_setaffinity

123sched_getaffinity

124sched_yield sched_yield

125sched_get_priority_max

126sched_get_priority_min

127sched_rr_get_间隔

128restart_系统调用

129 击杀

130tkill

131 tgkill

132 西加特栈

133rt_sig挂起

134rt_sigaction

135rt_sigproc掩码

136rt_signature 待处理

137rt_sigtimed等待

138rt_sigqueue信息

139rt_sigreturn

140组优先级

第141章获得优先权

142 重启

143设置regid

144 设置gid

145 塞特鲁德

146 设置

第147章

148 去吧

149设置resgid

150getresgid 150getresgid

第151章

152设置fsgid

153次

154设置pgid

155getpgid

156 获取希德

第157章

158 获取群组

159套组

160 鳗鱼

161 设置主机名

162设置域名

163 获得限制

164 设定限制

165 杰特拉浪涌

166 掩码

167%

168获取CPU

169 获取今天的时间

170 每天设定时间

第171章

第172章

第173章

第174章

第175章

176 获取Gid

第177章

178 被绑起来

179系统信息

180mq_开放

181mq_取消链接

182mq_定时发送

183mq_定时接收

184mq_通知

185mq_getsetattr

186 消息获取

187msgctl

188msgrcv 消息

189 消息

第190章

第191章

192 SEM 时间Dop

第193章

194 施穆格特

195shmctl

196 施马特

第197章

198插座

199 个插座对

200 绑定

第201章请听

第202章接受

203 个连接

204get 袜子名称

205获取对等名称

206 目的地

207 残骸

208套插座

209 获取索科普特

210 关机

发送211消息

第212章

第213章前瞻

214BRK

第215章

216m 重新映射

217 个附加键

218 请求密钥

219键ctl

220 克隆

221 执行

222毫米地图

第223章

224 交换

225 交换关闭

226m保护

227同步

228m锁

229 曼洛克

230m岩桨

231 蒙罗克全部

232分钟核心

第233章

234 重映射文件页面

235m绑定

第236章

237set_mempolicy

238 迁移页面

移至239页

240rt_tgsigqueue信息

241perf_event_open

第242章接受4

第243章

260 等待4

261 预限64

第262章

第263章

第264章

265 手柄打开

266 时钟调整时间

267 同步文件

268套

第269章发消息

270 进程_vm_readv

第271章

272kcmp

273finit_模块

第274章

第275章

第276章重命名2

277 秒比较

278 天竺葵

279memfd_创建

280bpf

281 执行

282 用户故障fd

第283章

284m锁2

285 复制文件范围

286preadv2

287pwritev2

288pkey_m保护

289pkey_分配

290pkey_free

291statx

292io_pget事件

293rseq

294kexec_文件_加载

424pidfd_发送_信号

425io_uring_设置

426io_uring_enter

427io_uring_注册

428 开树

第429章移动坐骑

430fs开

431fs配置

432fs挂载

433f选择

434pidfd_打开

第435章克隆3

1024 开放

1025 个链接

1026 取消链接

1027m点头

1028chmod

1029chown

1030mk目录

1031rm目录

第1032章

1033 次访问

1034 重命名

1035 阅读链接

1036 符号链接

1037次

1038stat64

1039lstat64

1040管

1041dup2

1042epoll_创建

第1043章

1044 事件FD

1045 信号FD

1049条新闻统计

1050新lstat

1059报警

第1060章

1061 暂停

1062次

1063utime

1064 已创建

第1066章

第1067章

1068 票

1069epoll_等待

第1070章

1071v叉子

1073 接收

1074 发送

1075bd冲洗

第1076章老坐骑

第1077章你图书馆

1078系统控制

1079 叉子

我们整理了数百道**【运维技术栈面试题】**,成为您运维面试的得力助手。这将帮助您在面试时不慌不忙,并为高质量的面试做好准备。付费报价!

这些面试题涵盖了从Shell、MySQL到K8等云原生技术栈,不仅适合运维行业新人的面试需求,也适合对运维感兴趣的朋友是适合的。升职或换工作以增加薪水。 **

![](https://img-blog.csdnimg.cn/img_convert/5ba92651049e7654a954b09650ed99a6.png)

本次访谈集内容为

* **174 运维工程师面试题**

* **128道k8s面试题**

* **108 个shell 脚本面试问题**

* **200 个Linux 面试问题**

* **51 个Docker 面试问题**

* **35 个Jenkis 面试问题**

* **78 MongoDB 面试问题**

* **17 Ansible 面试问题**

* **60 个Dubbo 面试问题**

* **53 次卡夫卡访谈**

* **18道mysql面试题**

* **40 个nginx 面试题**

* **77 个Redis 面试问题**

* **28 守门员**

**总共1000多道面试题,内容丰富、信息丰富**

* **174 运维工程师面试题**

1.什么是运维?

2、运维人员在工作场所经常需要与操作人员进行交互。运营人员做什么工作?

3. 给定300台服务器,如何管理它们?

4、我们简单解释一下raid0、raid1和raid5这两种运行模式的运行原理和特点。

5、LVS、Nginx、HAproxy有什么区别,工作中如何选择?

6. Squid、Varinsh、Nginx 有什么区别,你在工作中如何选择?

7.Tomcat和Resin有什么区别?

8.什么是中间件?

9. Tomcat 的三个端口8005、8009、8080 是什么意思?

10.什么是CDN?

11.什么是网站灰度发布?

12、请简单说明一下DNS域名解析的过程。

13.什么是RabbitMQ?

14.Keepalived如何工作?

15.描述LVS工作流程的三种模式。

16、mysql的innodb如何识别锁定问题以及mysql如何减少主从复制延迟?

2、运维人员在工作场所经常需要与操作人员进行交互。运营人员做什么工作?

3. 给定300台服务器,如何管理它们?

4、我们简单解释一下raid0、raid1和raid5这两种运行模式的运行原理和特点。

5、LVS、Nginx、HAproxy有什么区别,工作中如何选择?

6. Squid、Varinsh、Nginx 有什么区别,你在工作中如何选择?

7.Tomcat和Resin有什么区别?

8.什么是中间件?

9. Tomcat 的三个端口8005、8009、8080 是什么意思?

10.什么是CDN?

11.什么是网站灰度发布?

12、请简单说明一下DNS域名解析的过程。

13.什么是RabbitMQ?

14.Keepalived如何工作?

15.描述LVS工作流程的三种模式。

16、mysql的innodb如何识别锁定问题以及mysql如何减少主从复制延迟?

17.如何重置mysql root密码?

#【操作系统】以上有关安全审计的相关内容摘自网络,仅供参考。相关信息请参见官方公告。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91195.html

(0)
CSDN's avatarCSDN
上一篇 2024年6月21日 下午6:50
下一篇 2024年6月21日 下午6:50

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注