Čo je to Auditd?
Auditd je komponent užívateľského priestoru pre systém auditu Linux. Auditd je skratka pre Linux Audit Daemon. V systéme Linux sa démon označuje ako služba bežiaca na pozadí a na konci aplikačnej služby, ktorá beží na pozadí, je pripojené písmeno „d“. Úlohou auditd je zhromažďovať a zapisovať súbory protokolu auditu na disk ako službu na pozadí
Prečo používať auditd?
Táto služba Linux poskytuje používateľovi aspekt auditu bezpečnosti v systéme Linux. Protokoly, ktoré zhromažďuje a ukladá auditd, sú rôzne činnosti vykonávané používateľom v prostredí Linuxu. Ak sa chce používateľ pokúsiť zistiť, čo ostatní používatelia robili v podnikovom prostredí alebo v prostredí viacerých používateľov, môže tento používateľ získať prístup k tomuto druhu informácií v zjednodušenej a minimalizovanej podobe, ktoré sú známe ako protokoly. Ak sa v systéme používateľa vyskytla neobvyklá aktivita, povedzme, že bol narušený, potom môže používateľ sledovať a zistiť, ako bol narušený jeho systém, čo môže v mnohých prípadoch pomôcť pri reakcii na incident.
Základy auditu
Užívateľ môže prehľadávať uložené protokoly podľa auditd použitím ausearch a aureport inžinierske siete. Pravidlá auditu sú v adresári, / etc / audit / audit.pravidlá ktoré sa dajú prečítať auditctl na začiatku. Tieto pravidlá možno tiež upraviť pomocou auditctl. Na stránke je k dispozícii konfiguračný súbor auditu / etc / audit / auditd.konf.
Inštalácia
V distribúciách Linuxu založených na Debiane je možné na inštaláciu auditd použiť nasledujúci príkaz, ak ešte nie je nainštalovaný:
[chránené e-mailom]: ~ $ sudo apt-get install auditd audispd-pluginsZákladný príkaz pre auditd:
Pre spustenie auditu:
$ service auditd spustenieZastavenie auditu:
$ služba auditd stopNa reštartovanie auditd:
$ service auditd reštartNačítanie stavu auditd:
$ service auditd stavPre podmienené reštartovanie auditd:
$ service auditd condrestartPre opätovné načítanie služby auditd:
$ service auditd znovu načítaťPre rotujúce protokoly auditu:
$ service auditd rotovaťPre kontrolu výstupu konfigurácií auditd:
$ chkconfig --list auditdAké informácie je možné zaznamenať do denníkov?
- Informácie o časovej značke a udalosti, ako napríklad typ a výsledok udalosti.
- Udalosť sa spustila spolu s používateľom, ktorý ju spustil.
- Zmeny v konfiguračných súboroch auditu.
- Prístup k pokusom o súbory denníka auditu.
- Všetky udalosti overenia totožnosti s overenými používateľmi, ako je ssh atď.
- Zmeny citlivých súborov alebo databáz, ako sú napríklad heslá v priečinku / etc / passwd.
- Prichádzajúce a odchádzajúce informácie zo systému a do systému.
Ďalšie nástroje súvisiace s auditom:
Ďalej sú uvedené niektoré ďalšie dôležité nástroje súvisiace s auditom. Podrobne si rozoberieme iba niektoré z nich, ktoré sa bežne používajú.
auditctl:
Tento nástroj sa používa na získanie stavu správania auditu, nastavenia, zmeny alebo aktualizácie konfigurácií auditu. Syntax pre použitie auditctl je:
auditctl [možnosti]Nasledujú najčastejšie používané možnosti alebo príznaky:
-w
Ak chcete do súboru pridať hodinky, čo znamená, že audit bude tento súbor sledovať a do protokolov pridá činnosti používateľa súvisiace s týmto súborom.
-k
Na zadanie filtračného kľúča alebo názvu do zadanej konfigurácie.
-p
Ak chcete pridať filter na základe povolenia súborov.
-S
Potlačiť zaznamenávanie protokolov pre konfiguráciu.
-a
Ak chcete získať všetky výsledky pre zadaný vstup tejto možnosti.
Napríklad pridanie súboru watch do / etc / shadow s filtrovaným kľúčovým slovom „shadow-key“ a s povoleniami ako „rwxa“:
$ auditctl -w / etc / shadow -k tieňový súbor -p rwxaaureport:
Tento nástroj sa používa na generovanie súhrnných správ denníka auditu zo zaznamenaných protokolov. Vstupom do zostavy môžu byť aj nespracované údaje protokolov, ktoré sa privádzajú na aureport pomocou stdin. Základná syntax pre použitie aureport je:
aureport [možnosti]Niektoré zo základných a najčastejšie používaných možností aureport sú uvedené nižšie:
-k
Generovať správu na základe kľúčov určených v pravidlách alebo konfiguráciách auditu.
-i
Ak chcete zobraziť textové informácie, a nie číselné informácie, napríklad id, napríklad zobrazenie používateľského mena namiesto používateľského mena.
-au
Generovať správu o pokusoch o autentifikáciu pre všetkých používateľov.
-l
Generovať správu zobrazujúcu prihlasovacie informácie používateľov.
ausearch:
Táto utilita je vyhľadávací nástroj pre protokoly auditu alebo udalosti. Výsledky vyhľadávania sa zobrazia na oplátku na základe rôznych vyhľadávacích dotazov. Rovnako ako aureport, aj tieto vyhľadávacie dotazy môžu byť nespracované údaje protokolov, ktoré sa privádzajú do ausearch pomocou stdin. V predvolenom nastavení program ausearch vyhľadáva protokoly umiestnené na / var / log / audit / audit.log, ktoré je možné priamo zobraziť alebo k nim získať prístup ako pri zadávaní príkazov, ako je uvedené nižšie:
$ cat / var / log / audit / audit.logJednoduchá syntax pre použitie ausearch je:
ausearch [možnosti]Existujú aj určité príznaky, ktoré je možné použiť s príkazom ausearch, niektoré bežne používané príznaky sú:
-p
Tento príznak sa používa na zadanie ID procesu na vyhľadávanie dotazov na protokoly, napr.g., ausearch -p 6171.
-m
Tento príznak sa používa na hľadanie konkrétnych reťazcov v súboroch denníka, napr.g., ausearch -m USER_LOGIN.
-sv
Táto možnosť predstavuje hodnoty úspechu, ak používateľ žiada o hodnotu úspechu pre konkrétnu časť protokolov. Tento príznak sa často používa s príznakom -m ako napr ausearch -m USER_LOGIN -sv č.
-ua
Táto možnosť sa používa na zadanie filtra používateľských mien pre vyhľadávací dopyt, napr.g., ausearch -ua root.
-ts
Táto voľba sa používa na zadanie filtra časovej pečiatky pre vyhľadávací dopyt, napr.g., ausearch -ts včera.
auditspd:
Tento obslužný program sa používa ako démon na multiplexovanie udalostí.
autrace:
Tento nástroj sa používa na sledovanie binárnych súborov pomocou komponentov auditu.
aulast:
Tento nástroj zobrazuje najnovšie aktivity zaznamenané v protokoloch.
aulastlog:
Tento nástroj zobrazuje najnovšie prihlasovacie informácie všetkých používateľov alebo daného používateľa.
ausyscall:
Tento nástroj umožňuje mapovanie mien a čísel systémových hovorov.
auvirt:
Tento nástroj zobrazuje informácie o audite špeciálne pre virtuálne stroje.
Na záver
Aj keď je Linux Auditing relatívne pokročilou témou pre netechnických používateľov Linuxu, ale nechať ich rozhodnúť sa sami, je to, čo Linux ponúka. Na rozdiel od iných operačných systémov majú operačné systémy Linux tendenciu udržiavať svojich používateľov pod kontrolou nad svojim vlastným prostredím. Ako začínajúci alebo netechnický používateľ by sa mal človek vždy učiť pre svoj vlastný rast. Dúfam, že vám tento článok pomohol naučiť sa niečo nové a užitočné.