Hva er Auditd?
Auditd er userpace-komponenten til Linux Auditing System. Auditd er en forkortelse for Linux Audit Daemon. I Linux blir daemon referert til som bakgrunnskjøringstjeneste, og det er en 'd' festet på slutten av applikasjonstjenesten når den kjører i bakgrunnen. Jobben til auditd er å samle inn og skrive loggfiler til revisjon til disken som en bakgrunnstjeneste
Hvorfor bruke auditd?
Denne Linux-tjenesten gir brukeren et sikkerhetsrevisjonsaspekt i Linux. Loggene som samles inn og lagres av auditd, er forskjellige aktiviteter som utføres i Linux-miljøet av brukeren, og hvis det er et tilfelle der en bruker ønsker å spørre hva andre brukere har gjort i bedrifts- eller flerbrukermiljø, kan brukeren få tilgang til denne typen informasjon i en forenklet og minimert form, som er kjent som logger. Hvis det har vært en uvanlig aktivitet på en brukers system, la oss si at systemet hans var kompromittert, så kan brukeren spore tilbake og se hvordan systemet ble kompromittert, og dette kan også hjelpe i mange tilfeller for å reagere på hendelser.
Grunnleggende om revisjon d
Brukeren kan søke gjennom de lagrede loggene etter revisjon ved hjelp av ausearch og aureport verktøy. Tilsynsreglene er i katalogen, / etc / revisjon / revisjon.regler som kan leses av revisjonsl ved oppstart. Disse reglene kan også endres ved hjelp av auditctl. Det er auditd konfigurasjonsfil tilgjengelig på / etc / audit / auditd.konf.
Installasjon
I debianbaserte Linux-distribusjoner kan følgende kommando brukes til å installere auditd, hvis ikke allerede installert:
[e-postbeskyttet]: ~ $ sudo apt-get install auditd audispd-pluginsGrunnleggende kommando for auditd:
For å starte revisjon:
$ service auditd startFor å stoppe revisjond:
$ service auditd stoppFor å starte auditd på nytt:
$ service auditd start på nyttFor å hente revisjonsstatus:
$ service auditd statusFor betinget omstart av revisjon:
$ service auditd condartartFor omlasting av revisjonstjeneste:
$ service auditd på nyttFor roterende revisjonslogger:
$ service auditd rotereFor å sjekke utdata fra auditd-konfigurasjoner:
$ chkconfig --list auditdHvilken informasjon kan registreres i logger?
- Tidsstempel og hendelsesinformasjon som type og resultat av en hendelse.
- Hendelse utløst sammen med brukeren som utløste den.
- Endringer i revisjonskonfigurasjonsfiler.
- Tilgangsforsøk for revisjonsloggfiler.
- Alle autentiseringshendelser med autentiserte brukere som ssh, etc.
- Endringer i sensitive filer eller databaser som passord i / etc / passwd.
- Inn- og utgående informasjon fra og til systemet.
Andre verktøy relatert til revisjon:
Noen andre viktige verktøy relatert til revisjon er gitt nedenfor. Vi vil bare diskutere noen få av dem i detalj, som ofte brukes.
auditctl:
Dette verktøyet brukes til å få oppførselsstatus for revisjon, angi, endre eller oppdatere revisjonskonfigurasjoner. Syntaks for auditctl bruk er:
auditctl [opsjoner]Følgende er alternativene eller flagget som brukes mest:
-w
Hvis du vil legge til en klokke i en fil, noe som betyr at revisjon vil holde et øye med den filen og legge til brukeraktiviteter relatert til den filen i loggene.
-k
Å legge inn en filternøkkel eller et navn til den angitte konfigurasjonen.
-s
Å legge til et filter basert på tillatelse fra filer.
-S
Å undertrykke loggfanging for en konfigurasjon.
-en
For å få alle resultatene for den spesifiserte innspillingen av dette alternativet.
For eksempel, for å legge til en klokke på / etc / shadow-fil med filtrert nøkkelord 'shadow-key' og med tillatelser som 'rwxa':
$ auditctl -w / etc / shadow -k skyggefil -p rwxaAureport:
Dette verktøyet brukes til å generere sammendragsrapporter for revisjonslogg fra de registrerte loggene. Rapportinngangen kan også være rå loggdata som mates til aureport ved hjelp av stdin. Grunnleggende syntaks for aureportbruk er:
aureport [opsjoner]Noen av de grunnleggende og mest brukte aureport-alternativene er som under:
-k
Å generere en rapport basert på nøklene spesifisert i revisjonsregler eller konfigurasjoner.
-Jeg
Å vise tekstinformasjon i stedet for numerisk informasjon som id, for eksempel å vise brukernavn i stedet for bruker-ID.
-au
Å generere rapport om autentiseringsforsøk for alle brukere.
-l
Å generere rapport som viser påloggingsinformasjonen til brukerne.
ausearch:
Dette verktøyet er søkeverktøy for revisjonslogger eller hendelser. Søkeresultatene vises i retur, basert på forskjellige søk. Som søkeport, kan disse søkene også være rå loggdata som blir matet til ausearch ved hjelp av stdin. Som standard spør ausearch om loggene som er plassert på / var / log / revisjon / revisjon.Logg, som kan vises direkte eller åpnes som skrivekommando som nedenfor:
$ cat / var / log / audit / audit.LoggDen enkle syntaksen for bruk av ausearch er:
ausearch [opsjoner]Det er også visse flagg som kan brukes med ausearch-kommando, noen vanlige flagg er:
-s
Dette flagget brukes til å legge inn prosess-ID-er for å søke etter logger, f.eks.g., ausearch -p 6171.
-m
Dette flagget brukes til å søke etter bestemte strenger i loggfiler, f.eks.g., ausearch -m USER_LOGIN.
-sv
Dette alternativet er suksessverdier hvis brukeren spør etter suksessverdi for en spesifikk del av loggene. Dette flagget brukes ofte med -m flagg som ausearch -m USER_LOGIN -sv nr.
-ua
Dette alternativet brukes til å legge inn et brukernavnfilter for søk, f.eks.g., ausearch -ua rot.
-ts
Dette alternativet brukes til å legge inn et tidsstempelfilter for søket, f.eks.g., ausearch -ts i går.
auditspd:
Dette verktøyet brukes som en demon for multiplexing av hendelser.
autrace:
Dette verktøyet brukes til å spore binærfiler ved hjelp av revisjonskomponenter.
aulast:
Dette verktøyet viser de siste aktivitetene som er registrert i loggene.
aulastlog:
Dette verktøyet viser den siste påloggingsinformasjonen til alle brukerne eller en gitt bruker.
ausyscall:
Dette verktøyet tillater kartlegging av systemanropsnavn og -numre.
auvirt:
Dette verktøyet viser revisjonsinformasjonen spesielt for virtuelle maskiner.
Avsluttende
Selv om Linux Auditing er et relativt avansert emne for ikke-tekniske Linux-brukere, men å la brukerne bestemme selv, er det Linux tilbyr. I motsetning til andre operativsystemer har Linux-operativsystemer en tendens til å holde brukerne kontroll over sitt eget miljø. Å være en nybegynner eller ikke-teknisk bruker, bør man alltid lære for sin egen vekst. Håper denne artikkelen hjalp deg med å lære noe nytt og nyttig.