Kas ir Auditd?

Auditd ir Linux audita sistēmas lietotāju telpas sastāvdaļa. Auditd ir saīsinājums no Linux Audit Daemon. Linux dēmonu sauc par fona darbības pakalpojumu, un lietojumprogrammas beigās ir pievienots "d", kad tas darbojas fonā. Audita uzdevums ir apkopot un ierakstīt audita žurnālfailus diskā kā fona pakalpojumu

Kāpēc izmantot auditd?

Šis Linux pakalpojums nodrošina lietotāja drošības audita aspektu Linux. Žurnāli, kurus apkopo un saglabā auditd, ir dažādas darbības, kuras lietotājs veic Linux vidē, un, ja ir gadījums, kad kāds lietotājs vēlas uzzināt, ko citi lietotāji ir darījuši korporatīvajā vai vairāku lietotāju vidē, šis lietotājs var piekļūt šāda veida informācijai vienkāršotā un minimizētā formā, kas tiek dēvēta par žurnāliem. Turklāt, ja lietotāja sistēmā ir notikusi neparasta darbība, pieņemsim, ka viņa sistēma ir apdraudēta, tad lietotājs var izsekot un redzēt, kā tā sistēma tika apdraudēta, un tas daudzos gadījumos var arī palīdzēt reaģēt uz incidentu.

Audita pamati

Lietotājs var meklēt, izmantojot saglabātos žurnālus revīzija izmantojot ausearch un aureport komunālie pakalpojumi. Revīzijas noteikumi ir direktorijā, / etc / audit / audit.noteikumiem kuru var izlasīt auditctl startējot. Arī šos noteikumus var modificēt, izmantojot auditctl. Ir auditd konfigurācijas fails, kas pieejams vietnē / etc / audit / auditd.konf.

Uzstādīšana

Debian balstītos Linux izplatījumos šādu komandu var izmantot, lai instalētu auditd, ja tas vēl nav instalēts:

[aizsargāts pa e-pastu]: ~ $ sudo apt-get install auditd audispd-plugins

Pamata komanda auditd:

Lai sāktu auditd:

$ pakalpojuma audita sākums

Lai apturētu auditd:

$ service auditd stop

Lai restartētu auditd:

$ service auditd restartējiet

Lai iegūtu auditd statusu:

$ service auditd statuss

Nosacītai revarta restartēšanai:

$ service auditd condrestart

Pārlādēt auditd pakalpojumu:

$ service auditd atkārtoti ielādēt

Rotējošiem auditd žurnāliem:

$ service auditd rotate

Lai pārbaudītu auditd konfigurāciju izvadi:

$ chkconfig --list auditd

Kādu informāciju var ierakstīt žurnālos?

• Laika zīmogs un informācija par notikumu, piemēram, notikuma veids un rezultāts.
• Notikums tika aktivizēts kopā ar lietotāju, kurš to izraisīja.
• Izmaiņas audita konfigurācijas failos.
• Piekļuves mēģinājumi audita žurnāla failiem.
• Visi autentifikācijas notikumi ar autentificētiem lietotājiem, piemēram, ssh utt.
• Izmaiņas sensitīvos failos vai datubāzēs, piemēram, paroles mapē / etc / passwd.
• Ienākošā un izejošā informācija no un uz sistēmu.

Citas ar revīziju saistītas utilītas:

Tālāk ir sniegtas dažas citas svarīgas ar revīziju saistītas utilītas. Mēs detalizēti apspriedīsim tikai dažus no tiem, kas parasti tiek izmantoti.

auditctl:

Šo utilītu izmanto, lai iegūtu revīzijas uzvedības statusu, iestatītu, mainītu vai atjauninātu audita konfigurācijas. Audtctl lietošanas sintakse ir šāda:

auditctl [opcijas]

Tālāk ir norādītas galvenokārt izmantotās opcijas vai karodziņš:

-w

Lai failam pievienotu pulksteni, tas nozīmē, ka audits sekos šim failam un žurnālos pievienos lietotāja darbības, kas saistītas ar šo failu.

-k

Lai ievadītu filtra atslēgu vai nosaukumu norādītajā konfigurācijā.

-lpp

Lai pievienotu filtru, pamatojoties uz failu atļauju.

-S

Lai nomāktu žurnāla tveršanu konfigurācijai.

-a

Lai iegūtu visus šīs opcijas norādītās ievades rezultātus.

Piemēram, lai skatīšanās failā / etc / shadow pievienotu filtrētu atslēgvārdu 'shadow-key' un ar atļaujām kā 'rwxa':

$ auditctl -w / etc / shadow -k shadow-file -p rwxa

aureport:

Šo utilītu izmanto, lai ģenerētu revīzijas žurnālu kopsavilkuma pārskatus no ierakstītajiem žurnāliem. Pārskata ievade var būt arī neapstrādāti žurnālu dati, kas tiek ievadīti aureportā, izmantojot stdin. Pamata sintakse aureport lietošanai ir:

aureport [opcijas]

Dažas no galvenajām un visbiežāk izmantotajām aureport opcijām ir šādas:

-k

Lai izveidotu pārskatu, pamatojoties uz atslēgām, kas norādītas audita noteikumos vai konfigurācijās.

-i

Lai parādītu tekstuālu informāciju, nevis skaitlisku informāciju, piemēram, id, piemēram, lietotājvārda vietā userid.

-au

Lai ģenerētu ziņojumu par autentifikācijas mēģinājumiem visiem lietotājiem.

-l

Lai izveidotu pārskatu, kurā parādīta lietotāju pieteikšanās informācija.

ausearch:

Šī utilīta meklē audita žurnālu vai notikumu meklēšanas rīku. Meklēšanas rezultāti tiek parādīti pretī, pamatojoties uz dažādiem meklēšanas vaicājumiem. Tāpat kā aureport, arī šie meklēšanas vaicājumi var būt neapstrādāti žurnālu dati, kas tiek padoti ausearch, izmantojot stdin. Pēc noklusējuma ausearch vaicā žurnālus, kas ievietoti vietnē / var / log / audit / audit.žurnāls, kuru var tieši parādīt vai piekļūt kā rakstīšanas komandu, kā norādīts zemāk:

$ cat / var / log / audit / audit.žurnāls

Vienkārša ausearch izmantošanas sintakse ir šāda:

ausearch [opcijas]

Ir arī daži karodziņi, kurus var izmantot ar komandu ausearch, daži parasti tiek izmantoti:

-lpp

Šis karodziņš tiek izmantots procesa ID ievadīšanai žurnālu meklēšanas vaicājumos, piemēram,.g., ausearch -p 6171.

-m

Šis karodziņš tiek izmantots, lai meklētu konkrētas virknes žurnāla failos, piemēram,.g., ausearch -m USER_LOGIN.

-sv

Šī opcija ir veiksmes vērtība, ja lietotājs vaicā veiksmes vērtību konkrētai žurnālu daļai. Šo karodziņu bieži lieto ar -m karogu, piemēram, ausearch -m USER_LOGIN -sv nr.

-ua

Šī opcija tiek izmantota, lai ievadītu lietotājvārda filtru meklēšanas vaicājumam, piemēram,.g., ausearch -ua sakne.

-ts

Šo opciju izmanto, lai ievadītu laika zīmoga filtru meklēšanas vaicājumam, piemēram,.g., vakar ausearch -ts.

auditspd:

Šī lietderība tiek izmantota kā dēmons notikumu multipleksēšanai.

autrace:

Šo utilītu izmanto bināru izsekošanai, izmantojot audita komponentus.

aulast:

Šī utilīta parāda jaunākās žurnālos reģistrētās darbības.

aulastlog:

Šī utilīta parāda visu lietotāju vai attiecīgā lietotāja jaunāko pieteikšanās informāciju.

ausyscall:

Šī lietderība ļauj kartēt sistēmas zvanu nosaukumus un numurus.

auvirt:

Šī lietderība parāda revīzijas informāciju tieši virtuālajām mašīnām.

Noslēgums

Lai gan Linux audits ir salīdzinoši progresīva tēma netehniskiem Linux lietotājiem, taču ļaujot lietotājiem pašiem izlemt, Linux piedāvā tieši to. Atšķirībā no citām operētājsistēmām, Linux operētājsistēmām ir tendence lietotājiem paturēt kontroli pār savu vidi. Arī būdams iesācējs vai netehnisks lietotājs, vienmēr jāmācās, lai pats varētu izaugsmei. Ceru, ka šis raksts jums palīdzēja uzzināt kaut ko jaunu un noderīgu.