Varnost

Vadnica za Auditd Linux

Vadnica za Auditd Linux

Kaj je Auditd?

Auditd je komponenta uporabniškega prostora sistema za nadzor sistema Linux. Auditd je okrajšava za Linux Audit Daemon. V Linuxu se demon imenuje storitev, ki se izvaja v ozadju, na koncu aplikacijske storitve pa je pritrjen znak 'd', saj deluje v ozadju. Naloga auditda je zbiranje in zapisovanje dnevniških datotek revizije na disk kot storitev v ozadju

Zakaj uporabljati auditd?

Ta storitev Linux uporabniku zagotavlja vidik varnostne presoje v Linuxu. Dnevniki, ki jih zbira in shranjuje auditd, so različne dejavnosti, ki jih uporabnik izvaja v okolju Linuxa in če se kateri koli uporabnik želi pozanimati, kaj so drugi uporabniki počeli v okolju podjetja ali več uporabnikov, lahko ta uporabnik dostop do tovrstnih informacij v poenostavljeni in zmanjšani obliki, ki so znane kot dnevniki. Če je v uporabnikovem sistemu prišlo do nenavadne dejavnosti, recimo, da je bil njegov sistem ogrožen, lahko uporabnik sledi in vidi, kako je bil njegov sistem ogrožen, kar lahko v mnogih primerih pomaga tudi pri odzivanju na incident.

Osnove revizije

Uporabnik lahko po shranjenih dnevnikih išče po revidiran uporabo lahka raziskava in aureport gospodarske javne službe. Pravila revizije so v imeniku, / etc / audit / audit.pravila ki jih lahko prebere revidiranje na začetku. Ta pravila je mogoče tudi spremeniti z uporabo revidiranje. Na voljo je konfiguracijska datoteka auditd na / etc / audit / auditd.conf.

Namestitev

V distribucijah Linuxa, ki temeljijo na debianu, lahko za namestitev auditd, če že ni nameščen, uporabite naslednji ukaz:

[zaščitena po e-pošti]: ~ $ sudo apt-get install auditd audispd-plugins

Osnovni ukaz za auditd:

Za začetek revizije:

$ service auditd start

Za ustavitev revizije:

$ service auditd stop

Za ponovni zagon auditd:

$ service auditd ponovni zagon

Za pridobivanje stanja revizije:

$ service auditd status

Za pogojni ponovni zagon auditd:

$ service auditd condrestart

Za ponovno nalaganje storitve auditd:

$ service auditd ponovno naloži

Za vrteče se dnevnike revidiranja:

$ service auditd zasukaj

Za preverjanje izhoda konfiguracij auditd:

$ chkconfig --list auditd

Katere podatke lahko zapišemo v dnevnike?

Druge storitve, povezane z revizijo:

Nekateri drugi pomembni pripomočki, povezani z revizijo, so navedeni spodaj. Podrobno bomo obravnavali le nekatere izmed njih, ki se pogosto uporabljajo.

auditctl:

Ta pripomoček se uporablja za pridobivanje stanja vedenja revizije, nastavitev, spreminjanje ali posodabljanje konfiguracij revizije. Sintaksa za uporabo auditctl je:

auditctl [možnosti]

Sledijo možnosti ali zastava, ki se večinoma uporabljajo:

-w

Če datoteki dodate uro, kar pomeni, da bo revizija to datoteko spremljala in v dnevnike dodajala uporabniške dejavnosti, povezane s to datoteko.

-k

Za vnos ključa ali imena filtra v določeno konfiguracijo.

-str

Če želite dodati filter na podlagi dovoljenja datotek.

-S

Za preprečitev zajemanja dnevnika za konfiguracijo.

-a

Če želite dobiti vse rezultate za navedeni vnos te možnosti.

Če želite na primer dodati uro v datoteko / etc / shadow s filtrirano ključno besedo 'shadow-key' in z dovoljenji kot 'rwxa':

$ auditctl -w / etc / shadow -k shadow-file -p rwxa

aureport:

Ta pripomoček se uporablja za ustvarjanje povzetkov poročil dnevnika revizije iz zapisanih dnevnikov. Vhodni podatki poročila so lahko tudi neobdelani dnevniški podatki, ki se s pomočjo stdin pošljejo v aureport. Osnovna sintaksa za uporabo aureporta je:

aureport [možnosti]

Nekatere osnovne in najpogosteje uporabljene možnosti aureporta so spodaj:

-k

Ustvariti poročilo na podlagi ključev, določenih v revizijskih pravilih ali konfiguracijah.

-jaz

Za prikaz besedilnih informacij namesto številskih informacij, kot je id, na primer prikaz uporabniškega imena namesto uporabniškega imena.

-av

Ustvariti poročilo o poskusih preverjanja pristnosti za vse uporabnike.

-l

Ustvari poročilo, ki prikazuje prijavne podatke uporabnikov.

strokovni pregled:

Ta pripomoček išče orodje za revizijske dnevnike ali dogodke. Rezultati iskanja se prikažejo v zameno na podlagi različnih iskalnih poizvedb. Tako kot aureport so tudi te iskalne poizvedbe lahko podatki o surovih dnevnikih, ki se s pomočjo stdin posredujejo uporabnikom. Privzeto poizvedba poizvedb poišče dnevnike, na katere so postavljeni / var / log / audit / audit.log, ki je lahko neposredno prikazan ali dostopen kot tipkarski ukaz, kot spodaj:

$ cat / var / log / audit / audit.log

Preprosta sintaksa za uporabo ausearch je:

ausearch [možnosti]

Obstajajo tudi nekatere zastavice, ki jih je mogoče uporabiti z ukazom ausearch. Nekatere pogosto uporabljene zastave so:

-str

Ta zastava se uporablja za vnos ID-jev postopkov za iskanje poizvedb po dnevnikih, npr.g., ausearch -p 6171.

-m

Ta zastava se uporablja za iskanje določenih nizov v dnevniških datotekah, npr.g., ausearch -m USER_LOGIN.

-sv

Ta možnost je vrednosti uspeha, če uporabnik poišče vrednost uspeha za določen del dnevnikov. Ta zastava se pogosto uporablja z zastavico -m, kot je ausearch -m USER_LOGIN -sv št.

-ua

Ta možnost se uporablja za vnos filtra uporabniškega imena za iskalno poizvedbo, npr.g., ausearch -ua koren.

-ts

Ta možnost se uporablja za vnos filtra časovnega žiga za iskalno poizvedbo, npr.g., ausearch -ts včeraj.

revizijepd:

Ta pripomoček se uporablja kot demon za multipleksiranje dogodkov.

avtrace:

Ta pripomoček se uporablja za sledenje binarnim datotekam z uporabo revizijskih komponent.

avlast:

Ta pripomoček prikazuje najnovejše dejavnosti, zabeležene v dnevnikih.

avlalog:

Ta pripomoček prikazuje najnovejše podatke za prijavo vseh uporabnikov ali določenega uporabnika.

ausyscall:

Ta pripomoček omogoča preslikavo imen in številk sistemskih klicev.

avvirt:

Ta pripomoček prikazuje informacije o reviziji posebej za navidezne stroje.

Sklepno

Čeprav je revizija Linuxa sorazmerno napredna tema za netehnične uporabnike Linuxa, vendar jim omogoča, da se sami odločijo, kaj ponuja Linux. Za razliko od drugih operacijskih sistemov operacijski sistemi Linux navadno nadzorujejo svoje uporabnike nad lastnim okoljem. Ker je tudi začetnik ali netehnični uporabnik, se mora vedno učiti za lastno rast. Upam, da vam je ta članek pomagal pri učenju novega in koristnega.

Miška Kako spremeniti miškin kazalec in velikost, barvo in shemo kazalca v sistemu Windows 10
Kako spremeniti miškin kazalec in velikost, barvo in shemo kazalca v sistemu Windows 10
Kazalec miške in kazalec v operacijskem sistemu Windows 10 sta zelo pomembna vidika operacijskega sistema. To lahko rečemo tudi za druge operacijske s...
Igre Brezplačni in odprtokodni igralni mehanizmi za razvoj iger Linux
Brezplačni in odprtokodni igralni mehanizmi za razvoj iger Linux
Ta članek bo zajemal seznam brezplačnih in odprtokodnih igralnih mehanizmov, ki jih je mogoče uporabiti za razvoj 2D in 3D iger v Linuxu. Obstaja veli...
Igre Vadnica Shadow of the Tomb Raider za Linux
Vadnica Shadow of the Tomb Raider za Linux
Shadow of the Tomb Raider je dvanajsti dodatek k seriji Tomb Raider - franšiza akcijsko-pustolovskih iger, ki jo je ustvaril Eidos Montreal. Kritiki i...