Samouczek Auditd Linux

Bruno Dobrowolski
Samouczek Auditd Linux

Co to jest audytd?

Auditd to komponent przestrzeni użytkownika w systemie audytu Linux. Auditd jest skrót. W Linux demon jest określany jako usługa uruchamiająca tła, a na końcu usługi aplikacji jest załączona „d”. Zadaniem AuditD jest zbieranie i zapisanie plików dziennika audytu na dysku jako usłudze w tle

Dlaczego warto korzystać z Auditd?

Ta usługa Linux zapewnia użytkownikowi aspekt kontroli bezpieczeństwa w Linux. Dzienniki, które są gromadzone i zapisywane przez Auditd, to różne działania wykonywane w środowisku Linux przez użytkownika i jeśli istnieje przypadek, w którym jakikolwiek użytkownik chce zapytać, co robili inni użytkownicy w środowisku korporacyjnym lub wielu użytkowników, że użytkownik może użytkownik Uzyskaj dostęp do tego rodzaju informacji w uproszczonej i zminimalizowanej formie, które są znane jako dzienniki. Ponadto, jeśli w systemie użytkownika doszło do nietypowej aktywności, powiedzmy, że jego system został naruszony, wówczas użytkownik może wyśledzić i zobaczyć, w jaki sposób jego system został naruszony, a w wielu przypadkach może to pomóc w przypadku incydentów.

Podstawy Auditd

Użytkownik może przeszukiwać zapisane dzienniki Auditd za pomocą Ausearch I Aureport narzędzia. Reguły audytu są w katalogu, /etc/audyt/audyt.zasady które można odczytać AuditCtl na starcie. Ponadto reguły te można również modyfikować za pomocą AuditCtl. Istnieje plik konfiguracyjny Auditd dostępny pod adresem /etc/audyt/audytd.conf.

Instalacja

W dystrybucjach Linux opartych na debian można użyć następującego polecenia do instalacji Auditd, jeśli jeszcze nie jest zainstalowane:

Ubuntu@ubuntu: ~ $ sudo apt-get instaluj audytd audispd-plugins

Podstawowe polecenie Auditd:

Do rozpoczęcia audytu:

$ Service Auditd Start

Do zatrzymania Auditd:

$ Service Auditd Stop

Do ponownego uruchomienia Auditd:

$ Service Auditd restart

Do pobierania statusu Auditd:

$ Service Auditd Status

W celu ponownego uruchomienia Auditd:

$ Service Auditd Condrestart

W celu ponownego załadowania Auditd Service:

$ Service Auditd Reload

Do obracania dzienników audytu:

$ Service Auditd Rotate

W celu sprawdzenia konfiguracji Auditd Wyjście:

$ chkconfig -lista audytd

Jakie informacje można zarejestrować w dziennikach?

  • Informacje o znaczniku czasu i zdarzenia, takie jak rodzaj i wynik wydarzenia.
  • Zdarzenie wywołało wraz z użytkownikiem, który go wyzwolił.
  • Zmiany w plikach konfiguracji audytu.
  • Dostęp próby plików dziennika audytu.
  • Wszystkie zdarzenia uwierzytelniania z uwierzytelnionymi użytkownikami, takimi jak SSH itp.
  • Zmiany w poufnych plikach lub bazach danych, takie jak hasła w /etc /passwd.
  • Przychodzące i wychodzące informacje z systemu i do systemu.

Inne narzędzia związane z audytem:

Niektóre inne ważne narzędzia związane z audytem podano poniżej. Omówimy tylko kilka z nich szczegółowo, które są powszechnie używane.

AuditCtl:

To narzędzie służy do uzyskania statusu zachowania audytu, ustawiania, zmiany lub aktualizacji konfiguracji audytu. Składnia do użytku AuditCTL to:

audytctl [opcje]

Poniżej znajdują się opcje lub flaga, które są najczęściej używane:

-w

Aby dodać zegarek do pliku, co oznacza, że ​​audyt będzie obserwował ten plik i dodać działania użytkownika związane z tym plikami do dzienników.

-k

Wpisz klucz lub nazwę filtra do określonej konfiguracji.

-P

Aby dodać filtr na podstawie zgody plików.

-S

Aby stłumić przechwytywanie dziennika dla konfiguracji.

-A

Aby uzyskać wszystkie wyniki dla określonego wejścia tej opcji.

Na przykład, aby dodać plik Watch on /Etc /Shadow z filtrowanym słowem kluczowym „Shadow-Key” i z uprawnieniami jako „RWXA”:

$ auditctl -w /etc /shadow -k -cień -plik -p rwxa

Aureport:

To narzędzie służy do generowania raportów podsumowania dziennika audytu z nagranych dzienników. Wejście raportu mogą być również surowymi danymi dzienników, które są zasilane do Aureport za pomocą stdin. Podstawowa składnia do użytku Aureport to:

aureport [opcje]

Niektóre z podstawowych i najczęściej używanych opcji AUREPORT są jak poniżej:

-k

Aby wygenerować raport na podstawie kluczy określonych w regułach audytu lub konfiguracjach.

-I

Aby wyświetlać informacje tekstowe, a nie informacje numeryczne, takie jak identyfikator, takie jak wyświetlanie nazwy użytkownika zamiast użytkownika.

-au

Aby wygenerować raport o próbach uwierzytelnienia dla wszystkich użytkowników.

-L

Aby wygenerować raport wyświetlający informacje logowania użytkowników.

Ausearch:

To narzędzie wyszukuje narzędzie do dzienników audytu lub zdarzeń. Wyniki wyszukiwania są wyświetlane w zamian, w oparciu o różne zapytania dotyczące wyszukiwania. Podobnie jak Aureport, te pytania dotyczące wyszukiwania mogą być również danymi RAW Logs, które są zasilane Ausearch za pomocą stdin. Domyślnie Ausearch zapytania dzienników umieszczonych /var/log/audyt/audyt.dziennik, które można bezpośrednio wyświetlać lub uzyskać dostęp jako polecenie pisania, jak poniżej:

$ cat/var/log/audyt/audyt.dziennik

Prosta składnia do korzystania z Ausearch to:

ausearch [opcje]

Istnieją również pewne flagi, które można użyć z poleceniem Ausearch, niektóre powszechnie używane flagi to:

-P

Ta flaga służy do wprowadzania identyfikatorów procesów do wyszukiwania zapytań dla dzienników, e.G., Ausearch -p 6171.

-M

Ta flaga służy do wyszukiwania określonych ciągów w plikach dziennika, e.G., ausearch -m user_login.

-SV

Ta opcja jest wartościami sukcesu, jeśli użytkownik zapyta o wartość sukcesu dla określonej części dzienników. Ta flaga jest często używana z flagą -m, taką jak ausearch -m user_login -sv nr.

-ua

Ta opcja służy do wprowadzania filtra nazwy użytkownika do zapytania, e.G., ausearch -Ua root.

-TS

Ta opcja służy do wprowadzania filtra znacznika czasu dla zapytania wyszukiwania, e.G., ausearch -ts wczoraj.

auditspd:

To narzędzie jest używane jako demon do multipleksowania zdarzeń.

Autrace:

To narzędzie służy do śledzenia plików binarnych za pomocą komponentów audytu.

Aulast:

To narzędzie pokazuje najnowsze działania zarejestrowane w dziennikach.

Aulastlog:

To narzędzie pokazuje najnowsze informacje logowania wszystkich użytkowników lub danego użytkownika.

Ausyscall:

To narzędzie umożliwia mapowanie nazwy i liczb połączeń systemowych.

Auvirt:

To narzędzie pokazuje informacje o audycie specjalnie dla maszyn wirtualnych.

Końcowe

Chociaż Audyt Linux jest stosunkowo zaawansowanym tematem dla nietechnicznych użytkowników Linuksa, ale pozwala użytkownikom decydować sami, jest to, co oferuje Linux. W przeciwieństwie do innych systemów operacyjnych, systemy operacyjne Linux mają tendencję do kontroli użytkowników nad własnym środowiskiem. Będąc nowicjuszem lub nietechnicznym użytkownikiem, zawsze należy uczyć się dla własnego rozwoju. Mam nadzieję, że ten artykuł pomógł Ci nauczyć się czegoś nowego i przydatnego.

c ostre
Jak używać polimorfizmu w C#
Polimorfizm umożliwia leczenie przedmiotów z różnych klas, tak jak pochodziły z tej samej klasy. Moż...
Bertram Jóźwiak
C ++
Jaki jest typ danych w C ++
W C ++ batatype char reprezentuje dane w formie znaku. Ta zmienna przyjmuje tylko jedną zmienną na r...
Makary Stasiak
Golang
Co to jest klasa i obiekt w Golang?
Go nie ma zajęć ani przedmiotów w klasycznym sensie; Zamiast tego wykorzystuje struktury i interfejs...
Pani Żaneta Pakuła
php
Jak pobrać listę stref
Pani Alicja Szafrański
Jawa
Jakie są wyrażenia, stwierdzenia i bloki w Javie
Oliwia Makowski
AWS
Jaka jest różnica między partią AWS a Lambda?
Igor Skrzypek
AWS
Jak korzystać z cyklu życia instancji w AWS?
Maja Kucharski
Doker
Jak użyć polecenia „kopiowanie dokera” do przesyłania pliku z kontenera Docker na komputer hosta?
Pani Alicja Szafrański
Doker
Jakie są kroki, aby uruchomić Nginx w pojemniku Docker na Ubuntu Top 10.Top 10?
Igor Skrzypek
Baza danych Oracle
Czy baza danych Oracle jest podobna do bazy danych MySQL? |. Wyjaśnione
Makary Stasiak
PowerShell
Jak używać cmdlet „zapisu” w PowerShell?
Igor Skrzypek
MS SQL Server
Co to jest mysql rdbms kompleksowy przewodnik
Justyna Flak
c ostre
Jak używany jest operator Lambda '=>'
Justyna Flak