Kas yra „Auditd“?

„Auditd“ yra „Linux“ audito sistemos naudotojų srities komponentas. „Auditd“ reiškia „Linux Audit Daemon“. „Linux“ sistemoje „daemon“ vadinama fono veikiančia paslauga, o programinės įrangos pabaigoje yra „d“, kai ji veikia fone. Audito užduotis yra rinkti ir įrašyti audito žurnalo failus į diską kaip foninę paslaugą

Kodėl verta naudoti auditd?

Ši „Linux“ paslauga suteikia vartotojui saugos audito aspektą sistemoje „Linux“. Žurnalai, kuriuos renka ir išsaugo „auditd“, yra skirtinga veikla, kurią vartotojas atlieka „Linux“ aplinkoje, ir jei yra atvejis, kai kuris nors vartotojas nori sužinoti, ką kiti vartotojai veikė įmonės ar kelių vartotojų aplinkoje, tas vartotojas gali gauti prieigą prie šios rūšies informacijos supaprastinta ir sutrumpinta forma, kuri vadinama žurnalais. Be to, jei vartotojo sistemoje buvo neįprasta veikla, tarkime, jo sistema buvo pažeista, tada vartotojas gali atsekti ir pamatyti, kaip buvo pažeista jo sistema, ir tai daugeliu atvejų gali padėti reaguoti į įvykį.

Audito pagrindaid

Vartotojas gali ieškoti naudodamas išsaugotus žurnalus auditas naudojant ausearch ir aureport Komunalinės paslaugos. Audito taisyklės yra kataloge, / etc / audit / audit.taisykles kurį gali perskaityti auditctl paleidus. Be to, šias taisykles taip pat galima modifikuoti naudojant auditctl. Yra auditd konfigūracijos failas, kurį galite rasti adresu / etc / audit / auditd.konf.

Montavimas

Debian pagrįstuose „Linux“ paskirstymuose šią komandą galima naudoti norint įdiegti auditd, jei dar neįdiegta:

[apsaugotas el. paštu]: ~ $ sudo apt-get install auditd audispd-plugins

Pagrindinė „auditd“ komanda:

Norėdami pradėti auditą:

$ paslaugos audito pradžia

Norėdami sustabdyti auditą:

$ paslaugos audito sustabdymas

Norėdami iš naujo paleisti auditd:

$ service auditd paleiskite iš naujo

Norėdami gauti auditd būseną:

$ service auditd būsena

Jei norite iš naujo paleisti auditą:

$ service auditd condrestart

Jei norite iš naujo įkelti auditd paslaugą:

$ service auditd perkrauti

Norėdami sukti auditd žurnalus:

$ service auditd rotate

Norėdami patikrinti auditd konfigūracijų išvestį:

$ chkconfig - list auditd

Kokią informaciją galima įrašyti į žurnalus?

• Laiko žymė ir informacija apie įvykį, pvz., Įvykio tipas ir rezultatas.
• Įvykis suaktyvintas kartu su jį suaktyvinusiu vartotoju.
• Audito konfigūracijos failų pakeitimai.
• Pasiekti bandymus pasiekti audito žurnalo failus.
• Visi autentifikavimo įvykiai su patvirtintais vartotojais, pvz., Ssh ir kt.
• Slaptų failų ar duomenų bazių, pvz., Slaptažodžių, esančių aplanke / etc / passwd, pakeitimai.
• Gaunama ir siunčiama informacija iš sistemos ir į ją.

Kitos su auditu susijusios komunalinės paslaugos:

Toliau pateikiamos kelios kitos svarbios su auditu susijusios komunalinės paslaugos. Išsamiai aptarsime tik keletą jų, kurie dažniausiai naudojami.

auditctl:

Šis įrankis naudojamas norint gauti audito elgesio būseną, nustatyti, pakeisti ar atnaujinti audito konfigūracijas. „Audtctl“ naudojimo sintaksė yra:

auditctl [parinktys]

Toliau pateikiamos dažniausiai naudojamos parinktys arba žymos:

-w

Jei norite prie failo pridėti laikrodį, tai reiškia, kad auditas stebės tą failą ir prie žurnalų pridės su ta byla susijusią vartotojo veiklą.

-k

Norėdami įvesti filtro raktą ar pavadinimą į nurodytą konfigūraciją.

-p

Norėdami pridėti filtrą pagal failų leidimą.

-S

Norėdami užkirsti kelią konfigūracijos žurnalo fiksavimui.

-a

Norėdami gauti visus nurodytos šios parinkties įvesties rezultatus.

Pavyzdžiui, jei norite pridėti stebėjimo failą / etc / shadow faile su filtruotu raktiniu žodžiu „shadow-key“ ir su leidimais kaip „rwxa“:

$ auditctl -w / etc / shadow -k shadow-file -p rwxa

aureport:

Šis įrankis naudojamas kuriant audito žurnalo suvestinės ataskaitas iš įrašytų žurnalų. Ataskaitos įvestis taip pat gali būti neapdoroti žurnalų duomenys, kurie pateikiami į aureport naudojant „stdin“. Pagrindinė aureporto naudojimo sintaksė yra:

aureport [parinktys]

Kai kurios pagrindinės ir dažniausiai naudojamos „aureport“ parinktys yra tokios:

-k

Sukurti ataskaitą pagal raktus, nurodytus audito taisyklėse ar konfigūracijose.

-i

Norėdami rodyti tekstinę informaciją, o ne skaitinę informaciją, pvz., ID, pvz., Naudotojo vardą rodyti vietoj userid.

-au

Sugeneruoti visų vartotojų autentifikavimo bandymų ataskaitą.

-l

Sukurti ataskaitą, kurioje būtų rodoma vartotojų prisijungimo informacija.

ausearch:

Šis įrankis ieško audito žurnalų ar įvykių įrankio. Paieškos rezultatai rodomi mainais, remiantis skirtingomis paieškos užklausomis. Kaip ir „aureport“, šios paieškos užklausos taip pat gali būti neapdoroti žurnalų duomenys, kurie į ausearch pateikiami naudojant „stdin“. Pagal numatytuosius nustatymus ausearch klausia žurnalų, pateiktų / var / log / audit / audit.žurnalas, kurį galima tiesiogiai parodyti arba pasiekti kaip spausdinimo komandą, kaip nurodyta toliau:

$ cat / var / log / audit / audit.žurnalas

Paprasta ausearch naudojimo sintaksė yra:

ausearch [parinktys]

Be to, yra tam tikrų vėliavų, kurias galima naudoti su ausearch komanda, kai kurios dažniausiai naudojamos vėliavos yra:

-p

Ši žyma naudojama įvesti proceso ID į žurnalų paieškos užklausas, pvz.g., ausearch -p 6171.

-m

Ši vėliava naudojama ieškant konkrečių eilučių žurnalo failuose, pvz.g., ausearch -m USER_LOGIN.

-sv

Ši parinktis yra sėkmės reikšmė, jei vartotojas pateikia užklausą dėl konkrečios žurnalų dalies sėkmės vertės. Ši vėliava dažnai naudojama su -m vėliava, pvz ausearch -m USER_LOGIN -sv Nr.

-ua

Ši parinktis naudojama įvesti paieškos užklausos vartotojo vardo filtrą, pvz.g., ausearch -ua šaknis.

-ts

Ši parinktis naudojama įvesti laiko žymos filtrą paieškos užklausai, pvz.g., vakar ausearch -ts.

auditspd:

Ši programa yra naudojama kaip įvykių multipleksavimo deimonas.

autrace:

Šis įrankis naudojamas sekti dvejetainius failus naudojant audito komponentus.

aulastas:

Šis įrankis rodo naujausią veiklą, įrašytą žurnaluose.

aulastlog:

Šis įrankis rodo naujausią visų vartotojų arba konkretaus vartotojo prisijungimo informaciją.

ausyscall:

Šis įrankis leidžia susieti sistemos skambučių pavadinimus ir numerius.

auvirt:

Šis įrankis rodo audito informaciją, skirtą virtualiosioms mašinoms.

Baigiantis

Nors „Linux Auditing“ yra gana pažangi tema netechniniams „Linux“ vartotojams, tačiau tai leidžia vartotojams patiems nuspręsti, ką „Linux“ siūlo. Skirtingai nuo kitų operacinių sistemų, „Linux“ operacinės sistemos linkusios savo vartotojams kontroliuoti savo aplinką. Taip pat būdamas pradedantysis ar netechninis vartotojas, visada turėtumėte mokytis savo augimo tikslais. Tikiuosi, kad šis straipsnis padėjo sužinoti ką nors naujo ir naudingo.