Sikkerhet

Auditd Linux Tutorial

Auditd Linux Tutorial

Hva er Auditd?

Auditd er userpace-komponenten til Linux Auditing System. Auditd er en forkortelse for Linux Audit Daemon. I Linux blir daemon referert til som bakgrunnskjøringstjeneste, og det er en 'd' festet på slutten av applikasjonstjenesten når den kjører i bakgrunnen. Jobben til auditd er å samle inn og skrive loggfiler til revisjon til disken som en bakgrunnstjeneste

Hvorfor bruke auditd?

Denne Linux-tjenesten gir brukeren et sikkerhetsrevisjonsaspekt i Linux. Loggene som samles inn og lagres av auditd, er forskjellige aktiviteter som utføres i Linux-miljøet av brukeren, og hvis det er et tilfelle der en bruker ønsker å spørre hva andre brukere har gjort i bedrifts- eller flerbrukermiljø, kan brukeren få tilgang til denne typen informasjon i en forenklet og minimert form, som er kjent som logger. Hvis det har vært en uvanlig aktivitet på en brukers system, la oss si at systemet hans var kompromittert, så kan brukeren spore tilbake og se hvordan systemet ble kompromittert, og dette kan også hjelpe i mange tilfeller for å reagere på hendelser.

Grunnleggende om revisjon d

Brukeren kan søke gjennom de lagrede loggene etter revisjon ved hjelp av ausearch og aureport verktøy. Tilsynsreglene er i katalogen, / etc / revisjon / revisjon.regler som kan leses av revisjonsl ved oppstart. Disse reglene kan også endres ved hjelp av auditctl. Det er auditd konfigurasjonsfil tilgjengelig på / etc / audit / auditd.konf.

Installasjon

I debianbaserte Linux-distribusjoner kan følgende kommando brukes til å installere auditd, hvis ikke allerede installert:

[e-postbeskyttet]: ~ $ sudo apt-get install auditd audispd-plugins

Grunnleggende kommando for auditd:

For å starte revisjon:

$ service auditd start

For å stoppe revisjond:

$ service auditd stopp

For å starte auditd på nytt:

$ service auditd start på nytt

For å hente revisjonsstatus:

$ service auditd status

For betinget omstart av revisjon:

$ service auditd condartart

For omlasting av revisjonstjeneste:

$ service auditd på nytt

For roterende revisjonslogger:

$ service auditd rotere

For å sjekke utdata fra auditd-konfigurasjoner:

$ chkconfig --list auditd

Hvilken informasjon kan registreres i logger?

Andre verktøy relatert til revisjon:

Noen andre viktige verktøy relatert til revisjon er gitt nedenfor. Vi vil bare diskutere noen få av dem i detalj, som ofte brukes.

auditctl:

Dette verktøyet brukes til å få oppførselsstatus for revisjon, angi, endre eller oppdatere revisjonskonfigurasjoner. Syntaks for auditctl bruk er:

auditctl [opsjoner]

Følgende er alternativene eller flagget som brukes mest:

-w

Hvis du vil legge til en klokke i en fil, noe som betyr at revisjon vil holde et øye med den filen og legge til brukeraktiviteter relatert til den filen i loggene.

-k

Å legge inn en filternøkkel eller et navn til den angitte konfigurasjonen.

-s

Å legge til et filter basert på tillatelse fra filer.

-S

Å undertrykke loggfanging for en konfigurasjon.

-en

For å få alle resultatene for den spesifiserte innspillingen av dette alternativet.

For eksempel, for å legge til en klokke på / etc / shadow-fil med filtrert nøkkelord 'shadow-key' og med tillatelser som 'rwxa':

$ auditctl -w / etc / shadow -k skyggefil -p rwxa

Aureport:

Dette verktøyet brukes til å generere sammendragsrapporter for revisjonslogg fra de registrerte loggene. Rapportinngangen kan også være rå loggdata som mates til aureport ved hjelp av stdin. Grunnleggende syntaks for aureportbruk er:

aureport [opsjoner]

Noen av de grunnleggende og mest brukte aureport-alternativene er som under:

-k

Å generere en rapport basert på nøklene spesifisert i revisjonsregler eller konfigurasjoner.

-Jeg

Å vise tekstinformasjon i stedet for numerisk informasjon som id, for eksempel å vise brukernavn i stedet for bruker-ID.

-au

Å generere rapport om autentiseringsforsøk for alle brukere.

-l

Å generere rapport som viser påloggingsinformasjonen til brukerne.

ausearch:

Dette verktøyet er søkeverktøy for revisjonslogger eller hendelser. Søkeresultatene vises i retur, basert på forskjellige søk. Som søkeport, kan disse søkene også være rå loggdata som blir matet til ausearch ved hjelp av stdin. Som standard spør ausearch om loggene som er plassert på / var / log / revisjon / revisjon.Logg, som kan vises direkte eller åpnes som skrivekommando som nedenfor:

$ cat / var / log / audit / audit.Logg

Den enkle syntaksen for bruk av ausearch er:

ausearch [opsjoner]

Det er også visse flagg som kan brukes med ausearch-kommando, noen vanlige flagg er:

-s

Dette flagget brukes til å legge inn prosess-ID-er for å søke etter logger, f.eks.g., ausearch -p 6171.

-m

Dette flagget brukes til å søke etter bestemte strenger i loggfiler, f.eks.g., ausearch -m USER_LOGIN.

-sv

Dette alternativet er suksessverdier hvis brukeren spør etter suksessverdi for en spesifikk del av loggene. Dette flagget brukes ofte med -m flagg som ausearch -m USER_LOGIN -sv nr.

-ua

Dette alternativet brukes til å legge inn et brukernavnfilter for søk, f.eks.g., ausearch -ua rot.

-ts

Dette alternativet brukes til å legge inn et tidsstempelfilter for søket, f.eks.g., ausearch -ts i går.

auditspd:

Dette verktøyet brukes som en demon for multiplexing av hendelser.

autrace:

Dette verktøyet brukes til å spore binærfiler ved hjelp av revisjonskomponenter.

aulast:

Dette verktøyet viser de siste aktivitetene som er registrert i loggene.

aulastlog:

Dette verktøyet viser den siste påloggingsinformasjonen til alle brukerne eller en gitt bruker.

ausyscall:

Dette verktøyet tillater kartlegging av systemanropsnavn og -numre.

auvirt:

Dette verktøyet viser revisjonsinformasjonen spesielt for virtuelle maskiner.

Avsluttende

Selv om Linux Auditing er et relativt avansert emne for ikke-tekniske Linux-brukere, men å la brukerne bestemme selv, er det Linux tilbyr. I motsetning til andre operativsystemer har Linux-operativsystemer en tendens til å holde brukerne kontroll over sitt eget miljø. Å være en nybegynner eller ikke-teknisk bruker, bør man alltid lære for sin egen vekst. Håper denne artikkelen hjalp deg med å lære noe nytt og nyttig.

Spill Slik installerer du League Of Legends på Ubuntu 14.04
Slik installerer du League Of Legends på Ubuntu 14.04
Hvis du er fan av League of Legends, er dette en mulighet for deg å prøvekjør League of Legends. Merk at LOL støttes på PlayOnLinux hvis du er en linu...
Spill Installer det siste OpenRA-strategispillet på Ubuntu Linux
Installer det siste OpenRA-strategispillet på Ubuntu Linux
OpenRA er en Libre / Free Real Time Strategy-spillmotor som gjenskaper de tidlige Westwood-spillene som den klassiske Command & Conquer: Red Alert. Di...
Spill Installer nyeste Dolphin Emulator for Gamecube & Wii på Linux
Installer nyeste Dolphin Emulator for Gamecube & Wii på Linux
Dolphin Emulator lar deg spille de valgte Gamecube- og Wii-spillene dine på Linux Personal Computers (PC). Som en fritt tilgjengelig og åpen kildekod...