Phenquestions
Co je Auditd?
Auditd je komponenta uživatelského prostoru pro systém auditu Linux. Auditd je zkratka pro Linux Audit Daemon. V Linuxu je démon označován jako služba běžící na pozadí a na konci aplikační služby, která běží na pozadí, je připojeno 'd'. Úkolem auditd je shromažďovat a zapisovat soubory protokolu auditu na disk jako službu na pozadí
Proč používat auditd?
Tato služba Linux poskytuje uživateli aspekt auditu zabezpečení v systému Linux. Protokoly, které shromažďuje a ukládá auditd, jsou různé činnosti prováděné v prostředí Linux uživatelem a pokud existuje případ, kdy se chce kterýkoli uživatel zeptat, co ostatní uživatelé dělali v podnikovém nebo víceuživatelském prostředí, může tento uživatel získat přístup k tomuto druhu informací ve zjednodušené a minimalizované podobě, které se označují jako protokoly. Také pokud v systému uživatele došlo k neobvyklé aktivitě, řekněme, že byl jeho systém kompromitován, může uživatel sledovat zpět a zjistit, jak byl jeho systém kompromitován, což může v mnoha případech také pomoci při reakci na incident.
Základy auditu
Uživatel může prohledávat uložené protokoly podle auditd použitím ausearch a aureport utility. Pravidla auditu jsou v adresáři, / etc / audit / audit.pravidla který lze přečíst auditctl na začátku. Tato pravidla lze také upravit pomocí auditctl. Na adrese je k dispozici konfigurační soubor auditd / etc / audit / auditd.konf.
Instalace
V distribucích Linuxu založených na Debianu lze k instalaci auditd použít následující příkaz, pokud již není nainstalován:
[chráněno e-mailem]: ~ $ sudo apt-get install auditd audispd-pluginsZákladní příkaz pro auditd:
Pro spuštění auditu:
$ service auditd startUkončení auditu:
$ service auditd stopPro restartování auditd:
$ service auditd restartNačtení stavu auditd:
$ service auditd statusPro podmíněné restartování auditd:
$ service auditd condrestartPro znovu načtení služby auditd:
$ service auditd reloadPro rotující protokoly auditu:
$ service auditd rotovatPro kontrolu výstupu konfigurací auditd:
$ chkconfig --list auditdJaké informace lze zaznamenat do protokolů?
- Informace o časovém razítku a události, jako je typ a výsledek události.
- Událost spuštěna spolu s uživatelem, který ji spustil.
- Změny v konfiguračních souborech auditu.
- Pokusy o přístup k souborům protokolu auditu.
- Všechny ověřovací události s ověřenými uživateli, jako je ssh atd.
- Změny citlivých souborů nebo databází, jako jsou hesla v / etc / passwd.
- Příchozí a odchozí informace za do systému.
Další nástroje související s auditem:
Níže jsou uvedeny některé další důležité nástroje související s auditem. Podrobně probereme jen několik z nich, které se běžně používají.
auditctl:
Tento nástroj se používá k získání stavu chování auditu, nastavení, změny nebo aktualizace konfigurací auditu. Syntaxe pro použití auditctl je:
auditctl [možnosti]Následují nejčastěji používané možnosti nebo příznaky:
-w
Chcete-li do souboru přidat hodinky, což znamená, že audit bude tento soubor sledovat a přidá aktivity uživatelů související s tímto souborem do protokolů.
-k
Chcete-li zadat klíč filtru nebo název do zadané konfigurace.
-p
Chcete-li přidat filtr na základě povolení souborů.
-S
Potlačení zachycení protokolu pro konfiguraci.
-A
Chcete-li získat všechny výsledky pro zadaný vstup této možnosti.
Například pro přidání hodinek do souboru / etc / shadow s filtrovaným klíčovým slovem 'shadow-key' a s oprávněními jako 'rwxa':
$ auditctl -w / etc / shadow -k shadow-file -p rwxaaureport:
Tento nástroj se používá ke generování souhrnných zpráv protokolu auditu ze zaznamenaných protokolů. Vstupem do sestavy mohou být také nezpracovaná data protokolů, která se přivádějí na aureport pomocí stdin. Základní syntaxe pro použití aureport je:
aureport [možnosti]Některé ze základních a nejčastěji používaných možností aureport jsou uvedeny níže:
-k
Generování zprávy na základě klíčů uvedených v pravidlech nebo konfiguracích auditu.
-i
Chcete-li zobrazit textové informace spíše než číselné informace, jako je id, jako je například zobrazování uživatelského jména namísto userid.
-au
Generovat zprávu o pokusech o ověření pro všechny uživatele.
-l
Generovat zprávu zobrazující přihlašovací údaje uživatelů.
ausearch:
Tento nástroj je vyhledávací nástroj pro protokoly auditu nebo události. Výsledky vyhledávání se zobrazí na oplátku na základě různých vyhledávacích dotazů. Stejně jako aureport mohou být tyto vyhledávací dotazy také nezpracovaná data protokolů, která se přivádějí do ausearch pomocí stdin. Ve výchozím nastavení vyhledává ausearch protokoly umístěné na / var / log / audit / audit.log, které lze přímo zobrazit nebo k nim přistupovat jako při psaní příkazu, jak je uvedeno níže:
$ cat / var / log / audit / audit.logJednoduchá syntaxe pro použití ausearch je:
ausearch [možnosti]Existují také určité příznaky, které lze použít s příkazem ausearch, některé běžně používané příznaky jsou:
-p
Tento příznak se používá k zadávání ID procesů k vyhledávání dotazů na protokoly, např.G., ausearch -p 6171.
-m
Tento příznak se používá k hledání konkrétních řetězců v souborech protokolu, např.G., ausearch -m USER_LOGIN.
-sv
Tato možnost je hodnotami úspěchu, pokud uživatel dotazuje na hodnotu úspěchu pro konkrétní část protokolů. Tento příznak se často používá s příznakem -m, jako je ausearch -m USER_LOGIN -sv.
-ua
Tato možnost se používá k zadání filtru uživatelského jména pro vyhledávací dotaz, např.G., ausearch -ua root.
-ts
Tato možnost se používá k zadání filtru časového razítka pro vyhledávací dotaz, např.G., ausearch -ts včera.
auditspd:
Tento nástroj se používá jako démon pro multiplexování událostí.
autrace:
Tento nástroj se používá k trasování binárních souborů pomocí komponent auditu.
aulast:
Tento nástroj zobrazuje nejnovější aktivity zaznamenané v protokolech.
aulastlog:
Tento nástroj zobrazuje nejnovější přihlašovací údaje všech uživatelů nebo daného uživatele.
ausyscall:
Tento nástroj umožňuje mapování jmen a čísel systémových volání.
auvirt:
Tento nástroj zobrazuje informace o auditu konkrétně pro virtuální počítače.
Závěrečné
I když je Linux Auditing relativně pokročilým tématem pro netechnické uživatele Linuxu, ale umožňuje jim, aby se rozhodli sami, je to, co Linux nabízí. Na rozdíl od jiných operačních systémů mají operační systémy Linux sklon udržovat své uživatele pod kontrolou nad svým vlastním prostředím. Jako začínající nebo netechnický uživatel by se měl člověk vždy učit pro svůj vlastní růst. Doufám, že vám tento článek pomohl naučit se něco nového a užitečného.
