Какво е Auditd?

Auditd е компонентът на потребителското пространство на системата за одит на Linux. Auditd е съкращение от Linux Audit Daemon. В Linux демонът се нарича услуга, работеща във фонов режим и в края на услугата за приложения има прикрепена буква „d“, докато тя работи във фонов режим. Работата на auditd е да събира и записва регистрационни файлове от одит на диска като фонова услуга

Защо да използвам auditd?

Тази услуга на Linux предоставя на потребителя аспект на одит на сигурността в Linux. Дневниците, които се събират и записват от auditd, са различни дейности, извършвани в Linux среда от потребителя и ако има случай, в който някой потребител иска да попита какво правят другите потребители в корпоративна или многопотребителска среда, този потребител може да получат достъп до този вид информация в опростена и сведена до минимум форма, които са известни като дневници. Също така, ако е имало необичайна активност в системата на потребителя, да речем, че системата му е била компрометирана, тогава потребителят може да проследи и да види как е била компрометирана неговата система и това също може да помогне в много случаи за реагиране.

Основи на одита

Потребителят може да търси в запазените дневници по одит използвайки ausearch и аурепорт комунални услуги. Правилата за одит са в директорията, / и т.н. / одит / одит.правила които могат да бъдат прочетени от одиктктл при стартиране. Също така тези правила също могат да бъдат модифицирани с помощта на одиктктл. Наличен е файл за конфигуриране на auditd на / etc / audit / auditd.конф.

Инсталация

В дистрибуциите на Linux, базирани на debian, може да се използва следната команда за инсталиране на auditd, ако вече не е инсталиран:

[имейл защитен]: ~ $ sudo apt-get install auditd audispd-plugins

Основна команда за auditd:

За стартиране на одит:

$ service auditd старт

За спиране на одита:

$ услуга за проверка на стоп

За рестартиране на auditd:

$ service auditd рестартиране

За извличане на състоянието на одита:

$ serviceddd статус

За условно рестартиране auditd:

$ service auditd condrestart

За презареждане на услугата auditd:

$ service auditd презареждане

За въртящи се журнали за одит:

$ service auditd завъртане

За проверка на изхода на конфигурациите на auditd:

$ chkconfig - списък одит

Каква информация може да бъде записана в дневници?

• Клеймо за време и информация за събитие, като вид и резултат от събитие.
• Събитието се задейства заедно с потребителя, който го е задействал.
• Промени в одиторските конфигурационни файлове.
• Опити за достъп за регистрационни файлове за одит.
• Всички събития за удостоверяване с удостоверени потребители като ssh и др.
• Промени в чувствителни файлове или бази данни, като пароли в / etc / passwd.
• Входяща и изходяща информация от и към системата.

Други помощни програми, свързани с одита:

Някои други важни помощни програми, свързани с одита, са дадени по-долу. Ще обсъдим само някои от тях в детайли, които са често използвани.

auditctl:

Тази помощна програма се използва за получаване на състояние на поведение на одита, задаване, промяна или актуализиране на конфигурации на одит. Синтаксисът за използване на auditctl е:

auditctl [опции]

Следват опциите или флага, които се използват най-вече:

-w

За да добавите часовник към файл, което означава, че одитът ще следи този файл и ще добавя потребителски дейности, свързани с този файл, в дневниците.

-к

За да въведете филтър ключ или име в определена конфигурация.

-стр

За да добавите филтър въз основа на разрешението на файлове.

-С

За потискане на заснемането на журнали за конфигурация.

-а

За да получите всички резултати за посочения вход на тази опция.

Например, за да добавите часовник в / etc / shadow файл с филтрирана ключова дума 'shadow-key' и с разрешения като 'rwxa':

$ auditctl -w / etc / shadow -k сянка-файл -p rwxa

аурепорт:

Тази помощна програма се използва за генериране на обобщени отчети на дневника за одит от записаните дневници. Входът на отчета може да бъде и сурови данни от дневници, които се подават към aureport с помощта на stdin. Основният синтаксис за използване на aureport е:

aureport [опции]

Някои от основните и най-често използваните опции за аурепорт са както по-долу:

-к

За генериране на отчет въз основа на ключовете, посочени в одитните правила или конфигурации.

-i

За показване на текстова информация, а не на цифрова информация като id, като например показване на потребителско име вместо идентификатор на потребителя.

-au

Да генерира отчет за опитите за удостоверяване за всички потребители.

-л

За генериране на отчет, показващ информацията за вход на потребителите.

Ausearch:

Тази помощна програма е инструмент за търсене на журнали за одит или събития. Резултатите от търсенето се показват в замяна въз основа на различни заявки за търсене. Подобно на aureport, тези заявки за търсене също могат да бъдат сурови данни от дневници, които се подават към ausearch с помощта на stdin. По подразбиране ausearch заявки към дневниците, поставени в / var / log / audit / audit.дневник, които могат да бъдат директно показани или достъпни като команда за въвеждане, както е показано по-долу:

$ cat / var / log / audit / audit.дневник

Простият синтаксис за използване на ausearch е:

ausearch [опции]

Също така, има определени флагове, които могат да се използват с командата ausearch, някои често използвани флагове са:

-стр

Този флаг се използва за въвеждане на идентификатори на процеса за търсене на заявки за регистрационни файлове, напр.ж., ausearch -p 6171.

-м

Този флаг се използва за търсене на конкретни низове в регистрационни файлове, напр.ж., ausearch -m USER_LOGIN.

-св

Тази опция е стойности за успех, ако потребителят заявява стойност за успех за конкретна част от регистрационните файлове. Този флаг често се използва с флаг -m като ausearch -m USER_LOGIN -sv no.

-ua

Тази опция се използва за въвеждане на филтър за потребителско име за заявката за търсене, напр.ж., ausearch -ua корен.

-ts

Тази опция се използва за въвеждане на филтър за времеви клеймо за заявката за търсене, напр.ж., ausearch -ts вчера.

auditspd:

Тази програма се използва като демон за мултиплексиране на събития.

autrace:

Тази помощна програма се използва за проследяване на двоични файлове с помощта на компоненти за одит.

ауласт:

Тази програма показва най-новите дейности, записани в дневници.

ауластлог:

Тази програма показва най-новата информация за влизане на всички потребители или даден потребител.

ausyscall:

Тази помощна програма позволява картографиране на имена и номера на системни повиквания.

auvirt:

Тази програма показва информацията за одит специално за виртуалните машини.

Заключение

Въпреки че Linux Auditing е относително напреднала тема за нетехнически потребители на Linux, но оставянето на потребителите да решат сами, Linux предлага. За разлика от други операционни системи, операционните системи Linux са склонни да държат потребителите си под контрол над собствената си среда. Освен това като начинаещ или нетехнически потребител, човек винаги трябва да се учи за собствения си растеж. Надявам се, че тази статия ви е помогнала да научите нещо ново и полезно.