Securitate

Tutorial Auditd Linux

Tutorial Auditd Linux

Ce este Auditd?

Auditd este componenta spațiului utilizator al sistemului de audit Linux. Auditd este prescurtarea pentru Linux Audit Daemon. În Linux, daemonul este denumit serviciu care rulează în fundal și există un „d” atașat la sfârșitul serviciului aplicației, deoarece rulează în fundal. Sarcina auditd este de a colecta și scrie fișiere jurnal de audit pe disc ca serviciu de fundal

De ce să folosiți auditd?

Acest serviciu Linux oferă utilizatorului un aspect de audit de securitate în Linux. Jurnalele care sunt colectate și salvate de auditd, sunt activități diferite efectuate în mediul Linux de către utilizator și dacă există un caz în care vreun utilizator dorește să întrebe ce au făcut alți utilizatori în mediul corporativ sau multiplu, acel utilizator poate obțineți acces la acest tip de informații într-o formă simplificată și minimizată, cunoscute sub numele de jurnale. De asemenea, dacă a existat o activitate neobișnuită pe sistemul unui utilizator, să presupunem că sistemul său a fost compromis, atunci utilizatorul poate urmări înapoi și a vedea cum a fost compromis sistemul său și acest lucru poate ajuta, de asemenea, în multe cazuri, pentru răspunsul la incidente.

Bazele auditului

Utilizatorul poate căuta prin jurnalele salvate de auditd folosind ausearch și aureport utilități. Regulile de audit sunt în director, / etc / audit / audit.reguli care poate fi citit de auditctl la inceput. De asemenea, aceste reguli pot fi, de asemenea, modificate folosind auditctl. Există un fișier de configurare auditd disponibil la / etc / audit / auditd.conf.

Instalare

În distribuțiile Linux bazate pe debian, următoarea comandă poate fi utilizată pentru a instala auditd, dacă nu este deja instalat:

[e-mail protejat]: ~ $ sudo apt-get install auditd audispd-plugins

Comandă de bază pentru auditd:

Pentru începerea auditului:

$ service auditd start

Pentru oprirea auditului:

$ service auditd stop

Pentru repornirea auditului:

$ service auditd reporniți

Pentru preluarea stării auditd:

$ service auditd status

Pentru repornirea condiționată a auditului:

$ service auditd relansare

Pentru reîncărcare auditd service:

$ service auditd reîncărcare

Pentru jurnalele de audit rotative:

$ service auditd rotire

Pentru verificarea ieșirii configurațiilor auditd:

$ chkconfig --list auditd

Ce informații pot fi înregistrate în jurnale?

Alte utilități legate de audit:

Câteva alte utilități importante legate de audit sunt prezentate mai jos. Vom discuta doar câteva dintre ele în detaliu, care sunt utilizate în mod obișnuit.

auditctl:

Acest utilitar este utilizat pentru a obține starea de comportament a auditului, setarea, modificarea sau actualizarea configurațiilor de audit. Sintaxa pentru utilizarea auditctl este:

auditctl [opțiuni]

Următoarele sunt opțiunile sau semnalizatoarele care sunt utilizate în principal:

-w

Pentru a adăuga un ceas într-un fișier, ceea ce înseamnă că auditul va păstra un ochi asupra fișierului respectiv și va adăuga activitățile utilizatorilor legate de acel fișier în jurnale.

-k

Pentru a introduce o cheie de filtrare sau un nume în configurația specificată.

-p

Pentru a adăuga un filtru bazat pe permisiunea fișierelor.

-S

Pentru a suprima capturarea jurnalelor pentru o configurație.

-A

Pentru a obține toate rezultatele pentru intrarea specificată a acestei opțiuni.

De exemplu, pentru a adăuga un ceas pe fișierul / etc / shadow cu cuvântul cheie filtrat „shadow-key” și cu permisiuni ca „rwxa”:

$ auditctl -w / etc / shadow -k shadow-file -p rwxa

aureport:

Acest utilitar este utilizat pentru generarea rapoartelor sumare ale jurnalelor de audit din jurnalele înregistrate. Introducerea raportului poate fi, de asemenea, date brute de jurnale care sunt alimentate către aureport folosind stdin. Sintaxa de bază pentru utilizarea aureportului este:

aureport [opțiuni]

Câteva dintre opțiunile de bază și cele mai frecvent utilizate sunt:

-k

Pentru a genera un raport bazat pe cheile specificate în regulile sau configurațiile de audit.

-eu

Pentru a afișa informații textuale, mai degrabă decât informații numerice, cum ar fi id, cum ar fi afișarea numelui de utilizator în loc de userid.

-au

Pentru a genera un raport al încercărilor de autentificare pentru toți utilizatorii.

-l

Pentru a genera un raport care afișează informațiile de conectare ale utilizatorilor.

ausearch:

Acest utilitar este un instrument de căutare pentru jurnale de audit sau evenimente. Rezultatele căutării sunt afișate în schimb, pe baza diferitelor interogări de căutare. La fel ca aureport, aceste interogări de căutare pot fi, de asemenea, date brute de jurnale care sunt alimentate pentru a căuta automat folosind stdin. În mod implicit, ausearch interogă jurnalele plasate la / var / log / audit / audit.Buturuga, care poate fi afișat direct sau accesat ca comandă de tastare după cum urmează:

$ cat / var / log / audit / audit.Buturuga

Sintaxa simplă pentru utilizarea ausearch este:

ausearch [opțiuni]

De asemenea, există anumite steaguri care pot fi utilizate cu comanda ausearch, unele steaguri utilizate în mod obișnuit sunt:

-p

Acest semnal este utilizat pentru a introduce ID-uri de proces pentru a căuta interogări pentru jurnale, de exemplu.g., ausearch -p 6171.

-m

Acest steag este folosit pentru a căuta șiruri specifice în fișiere jurnal, de exemplu.g., ausearch -m USER_LOGIN.

-sv

Această opțiune reprezintă valori de succes dacă utilizatorul solicită valoarea de succes pentru o anumită parte a jurnalelor. Acest steag este adesea folosit cu steagul -m cum ar fi ausearch -m USER_LOGIN -sv nr.

-ua

Această opțiune este utilizată pentru a introduce un filtru de nume de utilizator pentru interogarea de căutare, e.g., ausearch -ua rădăcină.

-ts

Această opțiune este utilizată pentru a introduce un filtru de marcare a timpului pentru interogarea de căutare, e.g., ausearch -ts ieri.

auditpd:

Acest utilitar este folosit ca un demon pentru multiplexarea evenimentelor.

cursa automata:

Acest utilitar este utilizat pentru urmărirea binarelor utilizând componente de audit.

aulast:

Acest utilitar afișează cele mai recente activități înregistrate în jurnale.

aulastlog:

Acest utilitar afișează cele mai recente informații de conectare ale tuturor utilizatorilor sau unui anumit utilizator.

ausyscall:

Acest utilitar permite maparea numelor și numerelor apelurilor de sistem.

auvirt:

Acest utilitar afișează informațiile de audit special pentru mașinile virtuale.

Concluzie

Deși Auditul Linux este un subiect relativ avansat pentru utilizatorii Linux non-tehnici, dar lăsarea utilizatorilor să decidă singuri, este ceea ce oferă Linux. Spre deosebire de alte sisteme de operare, sistemele de operare Linux tind să-și păstreze utilizatorii în controlul propriului mediu. De asemenea, fiind un novice sau un utilizator non-tehnic, ar trebui să înveți întotdeauna pentru propria creștere. Sper că acest articol v-a ajutat să învățați ceva nou și util.

Șoarece Middle mouse button not working in Windows 10
Middle mouse button not working in Windows 10
The middle mouse button helps you scroll through long webpages and screens with a lot of data. If that stops, well you will end up using the keyboard ...
Șoarece How to change Left & Right mouse buttons on Windows 10 PC
How to change Left & Right mouse buttons on Windows 10 PC
It's quite a norm that all computer mouse devices are ergonomically designed for right-handed users. But there are mouse devices available which are s...
Șoarece Emulate Mouse clicks by hovering using Clickless Mouse in Windows 10
Emulate Mouse clicks by hovering using Clickless Mouse in Windows 10
Using a mouse or keyboard in the wrong posture of excessive usage can result in a lot of health issues, including strain, carpal tunnel syndrome, and ...