Mis on Auditd?

Auditd on Linuxi auditeerimissüsteemi kasutajaruumi komponent. Auditd on Linux Audit Daemon lühend. Linuxis nimetatakse deemonit taustajooksuteenuseks ja taustal töötava rakendusteenuse lõppu on lisatud d. Auditi ülesanne on koguda ja kirjutada auditi logifailid kettale taustateenusena

Miks kasutada auditd?

See Linuxi teenus pakub kasutajale Linuxis turvalisuse auditeerimise aspekti. Auditi kogutud ja salvestatud logid on erinevad toimingud, mida kasutaja Linuxi keskkonnas teostab. Kui on juhtumeid, kus mõni kasutaja soovib teada saada, mida teised kasutajad on ettevõtte või mitme kasutaja keskkonnas teinud, saab see kasutaja pääsete sellisele teabele juurde lihtsustatud ja minimeeritud kujul, mida nimetatakse logideks. Samuti, kui kasutaja süsteemis on olnud ebatavaline tegevus, oletame, et tema süsteem oli rikutud, saab kasutaja jälgida ja vaadata, kuidas tema süsteem oli rikutud, ja see võib paljudel juhtudel aidata ka vahejuhtumitele reageerimisel.

Auditi alusedd

Kasutaja saab otsida salvestatud logidest auditd kasutades ausearch ja aureport kommunaalteenused. Auditi reeglid on kataloogis, / etc / audit / audit.reegleid mida saab lugeda auditctl käivitamisel. Neid reegleid saab muuta ka kasutades auditctl. Auditi konfiguratsioonifail on saadaval aadressil / etc / audit / auditd.konf.

Paigaldamine

Debianipõhistes Linuxi distributsioonides saab auditdi installimiseks kasutada järgmist käsku, kui see pole veel installitud:

[meiliga kaitstud]: ~ $ sudo apt-get install auditd audispd-pluginad

Auditi põhikäsk:

Auditi alustamiseks:

teenuse auditi algus

Auditi peatamiseks:

teenuse auditaudd peatus

Auditi taaskäivitamiseks:

$ service auditd taaskäivitage

Auditi oleku toomiseks:

teenuse auditdd olek

Tingimusliku taaskäivitamise auditd:

$ service auditd condrestart

Auditi teenuse uuesti laadimine:

$ service auditd laadige uuesti

Auditd-logide pööramiseks:

teenuse auditdd pöörata

Auditi konfiguratsioonide väljundi kontrollimiseks toimige järgmiselt

$ chkconfig - list auditd

Millist teavet saab logidesse salvestada?

• Ajatempli ja sündmuse teave, näiteks sündmuse tüüp ja tulemus.
• Sündmus käivitati koos selle käivitanud kasutajaga.
• Auditi konfiguratsioonifailide muudatused.
• Juurdepääs katsetele logifailidele.
• Kõik autentimisüritused koos autenditud kasutajatega, näiteks ssh jne.
• Muutused tundlikes failides või andmebaasides, näiteks paroolid kataloogis / etc / passwd.
• Sissetulev ja väljuv teave süsteemist ja süsteemist.

Muud auditiga seotud utiliidid:

Allpool on toodud mõned muud auditiga seotud olulised utiliidid. Me arutame üksikasjalikult ainult mõnda neist, mida tavaliselt kasutatakse.

auditctl:

Seda utiliiti kasutatakse auditi käitumise oleku saamiseks, auditi konfiguratsioonide seadistamiseks, muutmiseks või värskendamiseks. Audtctl-i kasutamise süntaks on:

auditctl [valikud]

Järgmised on enamasti kasutatavad valikud või lipp:

-w

Kellale faili lisamine tähendab, et audit hoiab sellel failil silma peal ja lisab logidega selle failiga seotud kasutaja tegevused.

-k

Filtrivõtme või -nime sisestamine määratud konfiguratsiooni.

-lk

Filtrite lisamiseks failide loal.

-S

Konfiguratsiooni logide hõivamise pärssimiseks.

-a

Selle valiku määratud sisendi kõigi tulemuste saamiseks.

Näiteks faili / etc / shadow faili vaatamiseks lisamiseks filtreeritud märksõnaga 'shadow-key' ja lubadega 'rwxa':

$ auditctl -w / etc / shadow -k shadow-file -p rwxa

aureport:

Seda utiliiti kasutatakse auditilogi kokkuvõtlike aruannete loomiseks salvestatud logidest. Aruande sisend võib olla ka töötlemata logiandmed, mis sisestatakse aureporti stdini kasutades. Aurusadama kasutamise põhisüntaks on:

aureport [valikud]

Mõned põhilised ja kõige sagedamini kasutatavad aurepordi suvandid on järgmised:

-k

Auditi reeglites või konfiguratsioonides määratletud võtmete põhjal aruande loomiseks.

-i

Kuvada pigem tekstiline teave kui arvuline teave, näiteks ID, näiteks kasutajanime kuvamine kasutajatunnuse asemel.

-au

Kõigi kasutajate autentimiskatsete aruande loomiseks.

-l

Kasutajate sisselogimisteavet kuvava aruande loomiseks.

ausearch:

See utiliit otsib auditilogide või -sündmuste otsimise tööriista. Otsingutulemusi kuvatakse vastutasuks erinevate otsingupäringute põhjal. Nagu aureport, võivad ka need otsingupäringud olla toorlogide andmed, mis sisestatakse ausdinni, kasutades stdini. Vaikimisi uurib ausearch logisid, mis on asetatud aadressile / var / log / audit / audit.logi, mida saab otse kuvada või millele saab sisestada alltoodud tippimiskäsuna:

$ cat / var / log / audit / audit.logi

Ausearchi kasutamise lihtne süntaks on:

ausearch [valikud]

Lisaks on teatud lipud, mida saab kasutada ausearch-käskudega, mõned tavaliselt kasutatavad lipud on:

-lk

Seda lippu kasutatakse protsessi ID-de sisestamiseks logide otsingupäringutele, nt.g., ausearch -p 6171.

-m

Seda lippu kasutatakse logifailides konkreetsete stringide otsimiseks, nt.g., ausearch -m USER_LOGIN.

-sv

See valik on edukuse väärtus, kui kasutaja päringuid logide konkreetse osa edukuse väärtuse kohta. Seda lippu kasutatakse sageli -m lipuga nagu ausearch -m USER_LOGIN -sv nr.

-ua

Seda suvandit kasutatakse otsingupäringu kasutajanime filtri sisestamiseks, nt.g., ausearch -ua juur.

-ts

Seda suvandit kasutatakse otsingupäringu ajatemplifiltri sisestamiseks, nt.g., eile ausearch -ts.

auditspd:

Seda utiliiti kasutatakse deemonina sündmuste multipleksimisel.

autrace:

Seda utiliiti kasutatakse binaarkaartide jälgimiseks auditi komponentide abil.

aulast:

See utiliit näitab viimaseid logidesse salvestatud tegevusi.

aulastlog:

See utiliit näitab kõigi kasutajate või antud kasutaja viimast sisselogimisteavet.

ausyscall:

See utiliit võimaldab kaardistada süsteemikõnede nimesid ja numbreid.

auvirt:

See utiliit näitab audititeavet spetsiaalselt virtuaalsete masinate jaoks.

Kokkuvõtteks

Kuigi Linuxi auditeerimine on mittetehniliste Linuxi kasutajate jaoks suhteliselt arenenud teema, kuid laseb kasutajatel ise otsustada, pakub Linux seda. Erinevalt teistest opsüsteemidest hoiavad Linuxi operatsioonisüsteemid oma kasutajaid oma keskkonna üle ise kontrolli all. Olles ka algaja või mittetehniline kasutaja, peaks inimene alati õppima enda kasvu nimel. Loodetavasti see artikkel aitas teil õppida midagi uut ja kasulikku.