跳转至

禁用或修改Linux审计系统

对手可能会禁用或修改Linux审计系统,以隐藏恶意活动并避免检测。Linux管理员使用Linux审计系统跟踪系统上的安全相关信息。Linux审计系统在内核级别运行,并根据预配置的规则维护应用程序和系统活动(如进程、网络、文件和登录事件)的事件日志。 通常称为auditd,这是用于将事件写入磁盘的守护进程的名称,并由audit.conf配置文件中设置的参数管理。配置日志生成规则的两种主要方法是通过命令行auditctl实用程序和包含一系列auditctl命令的文件/etc/audit/audit.rules,这些命令在启动时加载。(引用: Red Hat System Auditing)(引用: IzyKnows auditd threat detection 2022) 具有root权限的对手可能能够通过禁用Audit系统服务、编辑配置/规则文件或挂钩Audit系统库函数来确保其活动不被记录。使用命令行,对手可以通过杀死与auditd守护进程相关的进程或使用systemctl停止Audit服务来禁用Audit系统服务。对手还可以挂钩Audit系统函数以禁用日志记录或修改/etc/audit/audit.rulesaudit.conf文件中的规则以忽略恶意活动。(引用: Trustwave Honeypot SkidMap 2023)(引用: ESET Ebury Feb 2014)