快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

SUpraudit:一款MacOS上的日记审计工具

违景

你可能对BSM审计有所了解,也可能完全没有听说过。这是Solaris OS遗留下来的产物,它存在于FreeBSD,Linux,当然还包括MacOS上。在我的*OS Internals::Security & Insecurity的第二章中有审计的具体先容。虽然它没有MAC框架那样强盛(并且没法进行推理,只能对操作做出反应),但也不像其他框架将简单的现场监控与纯用户模式的优点相结合。内核仍旧无比复杂,然则你不能也不应该修改它的默认审计逻辑。

值得注意的是,praudit(1),黑客网,它用于打印来自/var/audit以及/dev/auditpipe中的文件的审计记录,这是一个无比可骇的工具,即使在与-l(单行输出)一块儿使用时,它也不是grep(1)友爱的工具。

SUpraudit

经过25年左右的时间,现在是时辰进行改造了。我已经将praudit paltry ~220行的汇编归源(assembly back to source),然后我决定重修它:

root@Zephr (~) # supraudit -h
supraudit: illegal option -- -h
usage: supraudit [-lnpx] [-r | -s] [-d del] [file ...]
         OR
       supraudit [-S [-C] |-J] [-F filter] [-O output]
       -S: SuperAudit records (much more readable)
       -C: Color (because everything looks better in color)
       -J: JSON
       -L: Relay to local syslog
       -F: Filter by predefined rules - files, net, proc
       -O: Log to specified outputfile

This is J's supraudit, compiled on May 22 2018. 
Latest version always free @http://NewOSXBook.com/tools/supraudit.html

使用模式与praudit几乎相同 - 即supraudit可以用作审计文件的pipe (|)的接收端,或者运行在一般为/dev/auditpipe上,因为它提供了实时审计firehose。supraudit的新开关都是大写的,以免与之前的开关产生冲突。这些开关允许种种输出格式或过滤器(以下“使用示例”中所述)。

与praudit(1)不同的是,我的工具 – 在/dev/auditpipe上运行时 – 通过ioctl(2)代码设置管道,允许它在不影响内陆审计策略的情形下配置自定义过滤器(或根本没有)。简而言之,你不需要再设置任何器械 – 只要在管道上直接运行supraudit并查看每一个BSD级其它操作即可!(请注意,由于内核不支持该Mach级别操作,因此没法对其进行审计)。

使用示例

最直接以及有效的功能是-S,它使用我本人的记录格式,而不是Apple的默认格式。格式无比像Linux的strace(以及我本人的jtrace),并且无比友爱。你可以使用-C或JCOLOR=1来切换色采:

supraudit-connect.png

你可以使用grep以及cut -d’|'进行过滤。

.一些有效的grep过滤是’INET’(所有收集连接),’INET4′(IPv4)以及’INET6′。

supraudit-oc.png

作为grep的快速替换方案,你可以使用 -F files, net或proc作为内置过滤器。这是推荐的,因为以后你可以随时应用grep(1)。此外,如许做会自动将未经过滤的审计日记保存到/tmp,以便你可以随时查看完备的图片。

syslog/os_log集成

将-L与-S一块儿使用将记录到内陆syslog/os_log:

supraudit-L.png

遥程日记主机(loghost)

审计机制最显然的脱漏之一是,与syslogd不同,它没有对中央服务器进行遥程日记记录 – 要是你想确保日记的完备性,那么这是无比必要的,要是你拥有超过5台机器(如在企业中),则相等重要。那么,这已被修复。将supraudit与-R一块儿使用将会转发给中央服务器,但这需要……

Supraudit-PRO

Supraudit的“专业版”具有更多功能(PRO版目前正处于开发阶段),其中包括:

触发器:使用设置文件,可以用基本变量替代来执行超审计命令(例如:’on file access “/secret/*” kill subject’)。这对于安全敏感的防御是不适用的,因为审计机制是被动的。然则确立一个基本的主机入侵机制会颇有效。

插件:SUpraudit为希翼编写本人插件的开发人员提供了一个简单但功能强盛的API。这可以用来与littlesnitch/bigbrother/twinsister/whatever结合使用。

GUI(即将推出):当你合并多个审计日记时,数据会复杂的让你目眩缭乱。SUpraudit pro有一个GUI,你可以使用它来过滤,排序,阐发甚至构建timeline视图,以记录你的实现进度。

相干授权

supraudit免费供小我私人,以及/或5个主机内使用。要是你打算在10个以上主机的商业环境中使用它,则需要与products@technologeeks.com联系取得授权 - 你可能想要获得PRO版本,其中包含服务器(用于-R 新闻中继)和方便快速的GUI操作。同时欢迎人人对我提出修复或改进的建议。supraudit下载请点击这里

*参考来源:newosxbook, secist 编译,

您可能还会对下面的文章感兴趣: