Samouczek Auditd Linux

Bruno Dobrowolski
Samouczek Auditd Linux

Co to jest audytd?

Auditd to komponent przestrzeni użytkownika w systemie audytu Linux. Auditd jest skrót. W Linux demon jest określany jako usługa uruchamiająca tła, a na końcu usługi aplikacji jest załączona „d”. Zadaniem AuditD jest zbieranie i zapisanie plików dziennika audytu na dysku jako usłudze w tle

Dlaczego warto korzystać z Auditd?

Ta usługa Linux zapewnia użytkownikowi aspekt kontroli bezpieczeństwa w Linux. Dzienniki, które są gromadzone i zapisywane przez Auditd, to różne działania wykonywane w środowisku Linux przez użytkownika i jeśli istnieje przypadek, w którym jakikolwiek użytkownik chce zapytać, co robili inni użytkownicy w środowisku korporacyjnym lub wielu użytkowników, że użytkownik może użytkownik Uzyskaj dostęp do tego rodzaju informacji w uproszczonej i zminimalizowanej formie, które są znane jako dzienniki. Ponadto, jeśli w systemie użytkownika doszło do nietypowej aktywności, powiedzmy, że jego system został naruszony, wówczas użytkownik może wyśledzić i zobaczyć, w jaki sposób jego system został naruszony, a w wielu przypadkach może to pomóc w przypadku incydentów.

Podstawy Auditd

Użytkownik może przeszukiwać zapisane dzienniki Auditd za pomocą Ausearch I Aureport narzędzia. Reguły audytu są w katalogu, /etc/audyt/audyt.zasady które można odczytać AuditCtl na starcie. Ponadto reguły te można również modyfikować za pomocą AuditCtl. Istnieje plik konfiguracyjny Auditd dostępny pod adresem /etc/audyt/audytd.conf.

Instalacja

W dystrybucjach Linux opartych na debian można użyć następującego polecenia do instalacji Auditd, jeśli jeszcze nie jest zainstalowane:

Ubuntu@ubuntu: ~ $ sudo apt-get instaluj audytd audispd-plugins

Podstawowe polecenie Auditd:

Do rozpoczęcia audytu:

$ Service Auditd Start

Do zatrzymania Auditd:

$ Service Auditd Stop

Do ponownego uruchomienia Auditd:

$ Service Auditd restart

Do pobierania statusu Auditd:

$ Service Auditd Status

W celu ponownego uruchomienia Auditd:

$ Service Auditd Condrestart

W celu ponownego załadowania Auditd Service:

$ Service Auditd Reload

Do obracania dzienników audytu:

$ Service Auditd Rotate

W celu sprawdzenia konfiguracji Auditd Wyjście:

$ chkconfig -lista audytd

Jakie informacje można zarejestrować w dziennikach?

  • Informacje o znaczniku czasu i zdarzenia, takie jak rodzaj i wynik wydarzenia.
  • Zdarzenie wywołało wraz z użytkownikiem, który go wyzwolił.
  • Zmiany w plikach konfiguracji audytu.
  • Dostęp próby plików dziennika audytu.
  • Wszystkie zdarzenia uwierzytelniania z uwierzytelnionymi użytkownikami, takimi jak SSH itp.
  • Zmiany w poufnych plikach lub bazach danych, takie jak hasła w /etc /passwd.
  • Przychodzące i wychodzące informacje z systemu i do systemu.

Inne narzędzia związane z audytem:

Niektóre inne ważne narzędzia związane z audytem podano poniżej. Omówimy tylko kilka z nich szczegółowo, które są powszechnie używane.

AuditCtl:

To narzędzie służy do uzyskania statusu zachowania audytu, ustawiania, zmiany lub aktualizacji konfiguracji audytu. Składnia do użytku AuditCTL to:

audytctl [opcje]

Poniżej znajdują się opcje lub flaga, które są najczęściej używane:

-w

Aby dodać zegarek do pliku, co oznacza, że ​​audyt będzie obserwował ten plik i dodać działania użytkownika związane z tym plikami do dzienników.

-k

Wpisz klucz lub nazwę filtra do określonej konfiguracji.

-P

Aby dodać filtr na podstawie zgody plików.

-S

Aby stłumić przechwytywanie dziennika dla konfiguracji.

-A

Aby uzyskać wszystkie wyniki dla określonego wejścia tej opcji.

Na przykład, aby dodać plik Watch on /Etc /Shadow z filtrowanym słowem kluczowym „Shadow-Key” i z uprawnieniami jako „RWXA”:

$ auditctl -w /etc /shadow -k -cień -plik -p rwxa

Aureport:

To narzędzie służy do generowania raportów podsumowania dziennika audytu z nagranych dzienników. Wejście raportu mogą być również surowymi danymi dzienników, które są zasilane do Aureport za pomocą stdin. Podstawowa składnia do użytku Aureport to:

aureport [opcje]

Niektóre z podstawowych i najczęściej używanych opcji AUREPORT są jak poniżej:

-k

Aby wygenerować raport na podstawie kluczy określonych w regułach audytu lub konfiguracjach.

-I

Aby wyświetlać informacje tekstowe, a nie informacje numeryczne, takie jak identyfikator, takie jak wyświetlanie nazwy użytkownika zamiast użytkownika.

-au

Aby wygenerować raport o próbach uwierzytelnienia dla wszystkich użytkowników.

-L

Aby wygenerować raport wyświetlający informacje logowania użytkowników.

Ausearch:

To narzędzie wyszukuje narzędzie do dzienników audytu lub zdarzeń. Wyniki wyszukiwania są wyświetlane w zamian, w oparciu o różne zapytania dotyczące wyszukiwania. Podobnie jak Aureport, te pytania dotyczące wyszukiwania mogą być również danymi RAW Logs, które są zasilane Ausearch za pomocą stdin. Domyślnie Ausearch zapytania dzienników umieszczonych /var/log/audyt/audyt.dziennik, które można bezpośrednio wyświetlać lub uzyskać dostęp jako polecenie pisania, jak poniżej:

$ cat/var/log/audyt/audyt.dziennik

Prosta składnia do korzystania z Ausearch to:

ausearch [opcje]

Istnieją również pewne flagi, które można użyć z poleceniem Ausearch, niektóre powszechnie używane flagi to:

-P

Ta flaga służy do wprowadzania identyfikatorów procesów do wyszukiwania zapytań dla dzienników, e.G., Ausearch -p 6171.

-M

Ta flaga służy do wyszukiwania określonych ciągów w plikach dziennika, e.G., ausearch -m user_login.

-SV

Ta opcja jest wartościami sukcesu, jeśli użytkownik zapyta o wartość sukcesu dla określonej części dzienników. Ta flaga jest często używana z flagą -m, taką jak ausearch -m user_login -sv nr.

-ua

Ta opcja służy do wprowadzania filtra nazwy użytkownika do zapytania, e.G., ausearch -Ua root.

-TS

Ta opcja służy do wprowadzania filtra znacznika czasu dla zapytania wyszukiwania, e.G., ausearch -ts wczoraj.

auditspd:

To narzędzie jest używane jako demon do multipleksowania zdarzeń.

Autrace:

To narzędzie służy do śledzenia plików binarnych za pomocą komponentów audytu.

Aulast:

To narzędzie pokazuje najnowsze działania zarejestrowane w dziennikach.

Aulastlog:

To narzędzie pokazuje najnowsze informacje logowania wszystkich użytkowników lub danego użytkownika.

Ausyscall:

To narzędzie umożliwia mapowanie nazwy i liczb połączeń systemowych.

Auvirt:

To narzędzie pokazuje informacje o audycie specjalnie dla maszyn wirtualnych.

Końcowe

Chociaż Audyt Linux jest stosunkowo zaawansowanym tematem dla nietechnicznych użytkowników Linuksa, ale pozwala użytkownikom decydować sami, jest to, co oferuje Linux. W przeciwieństwie do innych systemów operacyjnych, systemy operacyjne Linux mają tendencję do kontroli użytkowników nad własnym środowiskiem. Będąc nowicjuszem lub nietechnicznym użytkownikiem, zawsze należy uczyć się dla własnego rozwoju. Mam nadzieję, że ten artykuł pomógł Ci nauczyć się czegoś nowego i przydatnego.

PowerShell
Jak używać polecenia „Sleep Start-Sleep” w PowerShell?
CMDLET „Start-Sleep” w PowerShell jest odpowiedzialny za zawieszenie działania lub zatrzymanie sesji...
Oliwia Makowski
Siły sprzedaży
Salesforce Apex - klasa stringowa
Praktyczny samouczek na temat Salesforce Apex String Class i sposobu zastosowania swoich metod na pr...
Oliwia Makowski
Debian
Jak założyć zaporę ogniową z UFW w Debian Top 10
Aby skonfigurować zaporę ogniową z UFW na Debian 11, zainstaluj ją za pośrednictwem Menedżera pakiet...
Justyna Flak
Pyton
Jak używać Xrange w Python
Pani Żaneta Pakuła
PostgreSQL
Jak skopiować tabelę z jednej bazy danych do drugiej w PostgreSQL
Maja Kucharski
Pyton
MATPLOTLIB 2D Histogram
Maja Kucharski
Doker
Jaka jest różnica między Dockerem a Podmanem?
Renata Borowiec
R
Jak utworzyć pustą ramkę danych r
Maja Kucharski
AWS
To, co AWS narzędzia i DevOps są potrzebne do opracowania aplikacji internetowej?
Zofia Góra
Baza danych Oracle
Czym jest Oracle Sql*plus i do czego jest używany?
Zofia Góra
Jawa
Co to jest import Java.io.*; w Javie?
Justyna Flak
AWS
Co to jest podsieć na AWS VPC i jak z niej korzystać?
Pani Żaneta Pakuła
Golang
Jakie są stałe w Golang?
Larysa Witczak