一、表明

在开展等级保护测评评测时，必须查验服务器的安全审计作用，这儿就以等级保护测评2.0而言一说centos6在这些方面的检验，下列是安全性云计算平台的安全审计基准点中的评测项。

二、评测项a

这儿在初级教程中，使我们去查询系统软件日志服务项目和安全审计服务项目是不是一切正常运作，可是这二者有什么关系及其实际有哪些作用书里没说清晰。

2.1. audit和syslog的关联

在网上的材料：

audit 关键用于记录安全性信息，用以系统对安全事故的追朔；而 syslog 日志系统软件用于记录系统软件中的各种各样信息，如硬件配置报警和手机软件日志等。可是 syslog 归属于 *** 层，没法记录过多信息。audit 来记录核心信息，包含文档的读写能力，管理权限的更改等。

举个事例而言，便是audit会记录系统软件状况，syslog也会记录，可是syslog记录的信息比不上audit更详尽，对于它俩实际能记录啥，下面要说。

在具体应用中，audit和syslog基本上便是单独的，例如audit过程没运作，syslog不容易遭受危害，会一切正常记录信息。而syslog沒有开，audit也不会遭受危害，会一切正常记录信息。

2.2. 安全审计内核模块与安全审计守护进程

这一段因为我并不是很清晰其基本原理，因此说错了敬请谅解。

大约含意便是auditd内核模块与auditd守护进程，并不是一回事儿。 auditd内核模块关键用于获得财务审计信息，而客户的auditd守护进程关键是以内核模块获得财务审计信息随后记录。 因此假如auditd内核模块沒有启动，那麼auditd守护进程运行了都没有一切用，客户界定的临时性财务审计规则或永久性财务审计规则都不容易起实际效果，当然也不会记录一切信息（但留意，这一不容易危害到syslog，syslog依然会一切正常记录信息的）。

我们可以根据auditctl -s指令查询auditd内核模块的情况：

[root@centos01 ~]# auditctl -s

AUDIT_STATUS: enabled=1 flag=1 pid=3232 rate_limit=0 backlog_limit=320 lost=0 backlog=0

里边的enabled的值即是auditd内核模块的情况，enabled为0则意味着auditd内核模块沒有运行，这时如同上文写的那般，系统软件不容易记录一切信息。假如enabled为1，则意味着auditd内核模块一切正常打开，这时能够一切正常搜集信息。假如enabled为2，好像是意味着财务审计规则被锁住，不可以改动升級规则。

而当enabled为1但auditd守护进程沒有打开时，核心搜集到的信息可能记录到提到/var/log/messages中。

自然，一般状况下不容易出現这类情况，应用service auditd start或stop指令运行或终止auditd守护进程时，核心的情况和auditd守护进程的情况是一致的。 也就是start时，会打开auditd守护进程，另外auditd核心的enabled也会被设成1，stop时，也一样。

除非是你应用auditctl -e指令刻意去那么做：

[root@centos01 ~]# service auditd stop

终止 auditd：[明确]

[root@centos01 ~]# auditctl -e 1

AUDIT_STATUS: enabled=1 flag=1 pid=0 rate_limit=0 backlog_limit=320 lost=0 backlog=0

[root@centos01 ~]# service auditd status

auditd 已停

这时，就出現了auditd内核模块未运行，但auditd守护进程运行的状况了。

2.3. 是不是打开了安全审计作用

因此分辨是不是打开安全审计作用时，要顺便查询一下auditd内核模块的情况，对于syslog是不是打开，我我觉得還是以auditd为主导，syslog打开了非常好，没打开也不在乎。

2.4. 是不是遮盖到每一个客户和是不是对关键个人行为、恶性事件开展财务审计

我们可以根据auditctl -l查询如今运作着的财务审计规则（默认设置是无规则）：

[root@centos01 ~]# auditctl -l

No rules

还能够根据查询/etc/audit/audit.rules文件，获得写在环境变量中的永久性财务审计规则：

[root@centos01 ~]# cat /etc/audit/audit.rules

#This file contains the auditctl rules that are loaded

#whenever the audit daemon is started via the initscripts.

#The rules are simply the parameters that would be passed

#to auditctl.

#First rule - delete all

-D

#Increase the buffers to survive stress events.

#Make this bigger for busy systems

-b 320

#Feel free to add below this line. See auditctl man page

具体运作的规则和环境变量中写的规则有什么不同吗？针对具体运作的规则，你能临时性的提升、删掉、改动（服务项目重新启动就恢复原样）。 而针对写在环境变量中的规则，假如你改动了环境变量却沒有重新启动服务项目，那麼你改动的也不会起效。

audit的财务审计规则大约有两大类：一类是对文档的监管，一类是对系统进程的监管。

针对文档，能够界定财务审计规则监管对该文件的读、写、实行等实际操作，一旦产生，便会记录到日志文档中。 例如用下列指令对hosts文档的写和特性变更开展监管：

auditctl -w /etc/hosts -p wa

针对系统进程，能够界定财务审计规则针对指令的启用，例如用下列名监管对umask、chown指令的启用：

[root@centos01 ~]# auditctl -a exit,always -S umask -S chown

WARNING - 32/64 bit syscall mi *** atch, you should specify an arch

[root@centos01 ~]# auditctl -l

LIST_RULES: exit,always syscall=chown,umask

好，针对一个默认设置的、沒有界定财务审计规则的系统软件，实际上依然会记录一些物品的，大家能用aureport -i指令查询一览：

Summary Report

======================

Range of time in logs: 2019年03月12日 00:54:39.084 - 2019年07月26日 15:38:01.542

Selected time for report: 2019年03月12日 00:54:39 - 2019年07月26日 15:38:01.542

Number of changes in configuration: 67

Number of changes to accounts, groups, or roles: 172