Kaj je Auditd?
Auditd je komponenta uporabniškega prostora sistema za nadzor sistema Linux. Auditd je okrajšava za Linux Audit Daemon. V Linuxu se demon imenuje storitev, ki se izvaja v ozadju, na koncu aplikacijske storitve pa je pritrjen znak 'd', saj deluje v ozadju. Naloga auditda je zbiranje in zapisovanje dnevniških datotek revizije na disk kot storitev v ozadju
Zakaj uporabljati auditd?
Ta storitev Linux uporabniku zagotavlja vidik varnostne presoje v Linuxu. Dnevniki, ki jih zbira in shranjuje auditd, so različne dejavnosti, ki jih uporabnik izvaja v okolju Linuxa in če se kateri koli uporabnik želi pozanimati, kaj so drugi uporabniki počeli v okolju podjetja ali več uporabnikov, lahko ta uporabnik dostop do tovrstnih informacij v poenostavljeni in zmanjšani obliki, ki so znane kot dnevniki. Če je v uporabnikovem sistemu prišlo do nenavadne dejavnosti, recimo, da je bil njegov sistem ogrožen, lahko uporabnik sledi in vidi, kako je bil njegov sistem ogrožen, kar lahko v mnogih primerih pomaga tudi pri odzivanju na incident.
Osnove revizije
Uporabnik lahko po shranjenih dnevnikih išče po revidiran uporabo lahka raziskava in aureport gospodarske javne službe. Pravila revizije so v imeniku, / etc / audit / audit.pravila ki jih lahko prebere revidiranje na začetku. Ta pravila je mogoče tudi spremeniti z uporabo revidiranje. Na voljo je konfiguracijska datoteka auditd na / etc / audit / auditd.conf.
Namestitev
V distribucijah Linuxa, ki temeljijo na debianu, lahko za namestitev auditd, če že ni nameščen, uporabite naslednji ukaz:
[zaščitena po e-pošti]: ~ $ sudo apt-get install auditd audispd-pluginsOsnovni ukaz za auditd:
Za začetek revizije:
$ service auditd startZa ustavitev revizije:
$ service auditd stopZa ponovni zagon auditd:
$ service auditd ponovni zagonZa pridobivanje stanja revizije:
$ service auditd statusZa pogojni ponovni zagon auditd:
$ service auditd condrestartZa ponovno nalaganje storitve auditd:
$ service auditd ponovno naložiZa vrteče se dnevnike revidiranja:
$ service auditd zasukajZa preverjanje izhoda konfiguracij auditd:
$ chkconfig --list auditdKatere podatke lahko zapišemo v dnevnike?
- Časovni žig in informacije o dogodku, kot so vrsta in izid dogodka.
- Dogodek se je sprožil skupaj z uporabnikom, ki ga je sprožil.
- Spremembe revizijskih konfiguracijskih datotek.
- Poskusi dostopa do dnevniških datotek revizije.
- Vsi dogodki preverjanja pristnosti s preverjenimi uporabniki, kot so ssh itd.
- Spremembe občutljivih datotek ali baz podatkov, kot so gesla v / etc / passwd.
- Dohodne in odhodne informacije iz in v sistem.
Druge storitve, povezane z revizijo:
Nekateri drugi pomembni pripomočki, povezani z revizijo, so navedeni spodaj. Podrobno bomo obravnavali le nekatere izmed njih, ki se pogosto uporabljajo.
auditctl:
Ta pripomoček se uporablja za pridobivanje stanja vedenja revizije, nastavitev, spreminjanje ali posodabljanje konfiguracij revizije. Sintaksa za uporabo auditctl je:
auditctl [možnosti]Sledijo možnosti ali zastava, ki se večinoma uporabljajo:
-w
Če datoteki dodate uro, kar pomeni, da bo revizija to datoteko spremljala in v dnevnike dodajala uporabniške dejavnosti, povezane s to datoteko.
-k
Za vnos ključa ali imena filtra v določeno konfiguracijo.
-str
Če želite dodati filter na podlagi dovoljenja datotek.
-S
Za preprečitev zajemanja dnevnika za konfiguracijo.
-a
Če želite dobiti vse rezultate za navedeni vnos te možnosti.
Če želite na primer dodati uro v datoteko / etc / shadow s filtrirano ključno besedo 'shadow-key' in z dovoljenji kot 'rwxa':
$ auditctl -w / etc / shadow -k shadow-file -p rwxaaureport:
Ta pripomoček se uporablja za ustvarjanje povzetkov poročil dnevnika revizije iz zapisanih dnevnikov. Vhodni podatki poročila so lahko tudi neobdelani dnevniški podatki, ki se s pomočjo stdin pošljejo v aureport. Osnovna sintaksa za uporabo aureporta je:
aureport [možnosti]Nekatere osnovne in najpogosteje uporabljene možnosti aureporta so spodaj:
-k
Ustvariti poročilo na podlagi ključev, določenih v revizijskih pravilih ali konfiguracijah.
-jaz
Za prikaz besedilnih informacij namesto številskih informacij, kot je id, na primer prikaz uporabniškega imena namesto uporabniškega imena.
-av
Ustvariti poročilo o poskusih preverjanja pristnosti za vse uporabnike.
-l
Ustvari poročilo, ki prikazuje prijavne podatke uporabnikov.
strokovni pregled:
Ta pripomoček išče orodje za revizijske dnevnike ali dogodke. Rezultati iskanja se prikažejo v zameno na podlagi različnih iskalnih poizvedb. Tako kot aureport so tudi te iskalne poizvedbe lahko podatki o surovih dnevnikih, ki se s pomočjo stdin posredujejo uporabnikom. Privzeto poizvedba poizvedb poišče dnevnike, na katere so postavljeni / var / log / audit / audit.log, ki je lahko neposredno prikazan ali dostopen kot tipkarski ukaz, kot spodaj:
$ cat / var / log / audit / audit.logPreprosta sintaksa za uporabo ausearch je:
ausearch [možnosti]Obstajajo tudi nekatere zastavice, ki jih je mogoče uporabiti z ukazom ausearch. Nekatere pogosto uporabljene zastave so:
-str
Ta zastava se uporablja za vnos ID-jev postopkov za iskanje poizvedb po dnevnikih, npr.g., ausearch -p 6171.
-m
Ta zastava se uporablja za iskanje določenih nizov v dnevniških datotekah, npr.g., ausearch -m USER_LOGIN.
-sv
Ta možnost je vrednosti uspeha, če uporabnik poišče vrednost uspeha za določen del dnevnikov. Ta zastava se pogosto uporablja z zastavico -m, kot je ausearch -m USER_LOGIN -sv št.
-ua
Ta možnost se uporablja za vnos filtra uporabniškega imena za iskalno poizvedbo, npr.g., ausearch -ua koren.
-ts
Ta možnost se uporablja za vnos filtra časovnega žiga za iskalno poizvedbo, npr.g., ausearch -ts včeraj.
revizijepd:
Ta pripomoček se uporablja kot demon za multipleksiranje dogodkov.
avtrace:
Ta pripomoček se uporablja za sledenje binarnim datotekam z uporabo revizijskih komponent.
avlast:
Ta pripomoček prikazuje najnovejše dejavnosti, zabeležene v dnevnikih.
avlalog:
Ta pripomoček prikazuje najnovejše podatke za prijavo vseh uporabnikov ali določenega uporabnika.
ausyscall:
Ta pripomoček omogoča preslikavo imen in številk sistemskih klicev.
avvirt:
Ta pripomoček prikazuje informacije o reviziji posebej za navidezne stroje.
Sklepno
Čeprav je revizija Linuxa sorazmerno napredna tema za netehnične uporabnike Linuxa, vendar jim omogoča, da se sami odločijo, kaj ponuja Linux. Za razliko od drugih operacijskih sistemov operacijski sistemi Linux navadno nadzorujejo svoje uporabnike nad lastnim okoljem. Ker je tudi začetnik ali netehnični uporabnik, se mora vedno učiti za lastno rast. Upam, da vam je ta članek pomagal pri učenju novega in koristnega.