Phenquestions
Što je Auditd?
Auditd je komponenta korisničkog prostora Linux Revizijskog sustava. Auditd je skraćenica od Linux Audit Daemon. U Linuxu se demon naziva uslugom koja radi u pozadini, a na kraju aplikacijske usluge nalazi se oznaka 'd' koja se pokreće u pozadini. Posao auditda je prikupljanje i upisivanje datoteka dnevnika revizije na disk kao pozadinske usluge
Zašto koristiti auditd?
Ova Linux usluga pruža korisniku aspekt sigurnosne provjere u Linuxu. Zapisnici koje prikuplja i sprema auditd, različite su aktivnosti koje korisnik obavlja u Linux okruženju, a ako postoji slučaj da bilo koji korisnik želi raspitati se što drugi korisnici rade u korporacijskom ili višekorisničkom okruženju, taj korisnik može dobiti pristup ovoj vrsti podataka u pojednostavljenom i umanjenom obliku, koji su poznati kao dnevnici. Također, ako je došlo do neuobičajene aktivnosti na korisnikovom sustavu, recimo da je njegov sustav ugrožen, tada korisnik može pratiti i vidjeti kako je njegov sustav ugrožen, a to u mnogim slučajevima može pomoći u reagiranju na incident.
Osnove revizije
Korisnik može pretraživati spremljene zapisnike po auditd koristeći ausearch i aureport komunalije. Pravila revizije nalaze se u direktoriju, / etc / audit / audit.pravila koji se mogu pročitati revizl Na početku. Ta se pravila također mogu mijenjati pomoću revizl. Na raspolaganju je datoteka za konfiguraciju auditd / etc / audit / auditd.konf.
Montaža
U Linux distribucijama zasnovanim na debianu, sljedeća naredba može se koristiti za instalaciju auditd-a, ako već nije instaliran:
[zaštićena e-poštom]: ~ $ sudo apt-get install auditd audispd-pluginsOsnovna naredba za auditd:
Za početak revizije:
$ service auditd startZa zaustavljanje audita:
$ usluga auditd stopZa ponovno pokretanje auditd:
$ service auditd restartZa dohvaćanje statusa audita:
$ service auditd statusZa uvjetno ponovno pokretanje auditd:
$ service auditd condrestartZa ponovno učitavanje usluge auditd:
$ service auditd ponovno učitavanjeZa rotiranje dnevnika audita:
$ service auditd rotirajZa provjeru izlaza Audit-ovih konfiguracija:
$ chkconfig --list auditdKoje se informacije mogu zabilježiti u zapisnike?
- Vremenska oznaka i informacije o događaju, poput vrste i ishoda događaja.
- Događaj je pokrenut zajedno s korisnikom koji ga je pokrenuo.
- Promjene u revizijskim datotekama konfiguracije.
- Pokušaji pristupa datotekama dnevnika revizije.
- Svi događaji provjere autentičnosti s provjerenim korisnicima, kao što su ssh, itd.
- Promjene na osjetljivim datotekama ili bazama podataka, poput lozinki u / etc / passwd.
- Dolazne i odlazne informacije iz i u sustav.
Ostale uslužne usluge povezane s revizijom:
U nastavku su navedeni neki drugi važni programi koji se odnose na reviziju. Detaljno ćemo razmotriti samo neke od njih, koji se obično koriste.
auditctl:
Ovaj uslužni program koristi se za dobivanje statusa ponašanja revizije, postavljanje, promjenu ili ažuriranje konfiguracija revizije. Sintaksa za upotrebu auditctla je:
auditctl [opcije]Slijede opcije ili zastava koje se uglavnom koriste:
-w
Dodavanje sata u datoteku što znači da će revizija pripaziti na nju i u zapisnike dodati aktivnosti korisnika povezane s tom datotekom.
-k
Za unos ključa ili imena filtra u navedenu konfiguraciju.
-str
Da biste dodali filtar na temelju dopuštenja datoteka.
-S
Za suzbijanje hvatanja dnevnika za konfiguraciju.
-a
Da biste dobili sve rezultate za navedeni ulaz ove opcije.
Na primjer, za dodavanje sata u datoteku / etc / shadow s filtriranom ključnom riječi 'shadow-key' i s dopuštenjima kao 'rwxa':
$ auditctl -w / etc / shadow -k datoteka sjena -p rwxaaureport:
Ovaj uslužni program koristi se za generiranje izvještaja sažetka dnevnika revizije iz snimljenih dnevnika. Ulazni podaci izvješća mogu biti i neobrađeni podaci dnevnika koji se unose u aureport pomoću stdina. Osnovna sintaksa za upotrebu aureporta je:
aureport [opcije]Neke od osnovnih i najčešće korištenih opcija aureporta nalaze se u nastavku:
-k
Za generiranje izvješća na temelju ključeva navedenih u pravilima ili konfiguracijama revizije.
-ja
Za prikaz tekstualnih podataka, a ne numeričkih informacija poput id-a, kao što je prikazivanje korisničkog imena umjesto korisničkog imena.
-au
Generirati izvještaj o pokušajima autentifikacije za sve korisnike.
-l
Za generiranje izvještaja koji prikazuje podatke o prijavi korisnika.
istraživanje:
Ovaj uslužni program traži alat za zapisnike ili događaje revizije. Rezultati pretraživanja prikazuju se zauzvrat, na temelju različitih upita za pretraživanje. Kao i aureport, ovi upiti za pretraživanje također mogu biti neobrađeni podaci dnevnika koji se dovode na pretraživač pomoću stdina. Prema zadanim postavkama, pretraživač pretraživanja postavlja zapise na koje su postavljeni / var / log / audit / audit.zapisnik, koja se može izravno prikazati ili joj se može pristupiti kao naredba za tipkanje kao dolje:
$ cat / var / log / audit / audit.zapisnikJednostavna sintaksa korištenja pretraživanja je:
istraživanje pretraživanja [opcije]Također, postoje određene zastave koje se mogu koristiti s naredbom ausearch, neke od najčešće korištenih zastavica su:
-str
Ova se zastava koristi za unos ID-ova procesa za pretraživanje upita za zapisnike, npr.g., istjerivanje -p 6171.
-m
Ova se zastava koristi za traženje određenih nizova u datotekama dnevnika, npr.g., ausearch -m USER_LOGIN.
-sv
Ova je opcija vrijednost uspjeha ako korisnik traži vrijednost uspjeha za određeni dio dnevnika. Ova se zastava često koristi sa -m zastavom kao što je pretraživač -m USER_LOGIN -sv br.
-ua
Ova se opcija koristi za unos filtra korisničkog imena za upit za pretraživanje, npr.g., ausearch -ua korijen.
-ts
Ova se opcija koristi za unos filtra vremenske oznake za upit za pretraživanje, npr.g., ausearch -ts jučer.
auditspd:
Ovaj uslužni program koristi se kao demon za multipleksiranje događaja.
autrace:
Ovaj uslužni program koristi se za traženje binarnih datoteka pomoću komponenata revizije.
aulast:
Ovaj uslužni program prikazuje najnovije aktivnosti zabilježene u zapisnicima.
aulastlog:
Ovaj uslužni program prikazuje najnovije podatke o prijavi svih korisnika ili datog korisnika.
ausyscall:
Ovaj uslužni program omogućuje mapiranje naziva i brojeva sistemskih poziva.
auvirt:
Ovaj uslužni program prikazuje informacije o reviziji posebno za virtualne strojeve.
Zaključno
Iako je Linux Auditing relativno napredna tema za netehničke Linux korisnike, ali dopuštanje korisnicima da sami odluče, Linux nudi. Za razliku od ostalih operativnih sustava, Linux operativni sustavi imaju tendenciju da svoje korisnike kontroliraju u vlastitom okruženju. Budući da je i početnik ili netehnički korisnik, uvijek treba učiti za vlastiti rast. Nadam se da vam je ovaj članak pomogao da naučite nešto novo i korisno.
