Mikä on Auditd?

Auditd on Linux-tarkastusjärjestelmän käyttäjätilan komponentti. Auditd on lyhenne sanoista Linux Audit Daemon. Linuxissa daemonia kutsutaan taustalla toimivaksi palveluksi ja sovelluspalvelun loppuun on liitetty 'd', kun se toimii taustalla. Auditd-tehtävänä on kerätä ja kirjoittaa audit-lokitiedostot levylle taustapalveluna

Miksi käyttää auditd?

Tämä Linux-palvelu tarjoaa käyttäjälle turvallisuusauditoinnin näkökulman Linuxissa. Auditin keräämät ja tallentamat lokit ovat erilaisia ​​toimintoja, jotka käyttäjä suorittaa Linux-ympäristössä, ja jos on tapauksia, joissa kukaan käyttäjä haluaa tiedustella, mitä muut käyttäjät ovat tehneet yritys- tai usean käyttäjän ympäristössä, kyseinen käyttäjä voi pääsy tällaisiin tietoihin yksinkertaistetussa ja pienennetyssä muodossa, joita kutsutaan lokeiksi. Lisäksi, jos käyttäjän järjestelmässä on tapahtunut epätavallista toimintaa, sanotaanko, että hänen järjestelmäänsä on tehty vaurioita, käyttäjä voi jäljittää ja nähdä, miten sen järjestelmä on vaarantunut, ja tämä voi myös auttaa monissa tapauksissa tapahtumiin reagoimisessa.

Auditoinnin perusteet

Käyttäjä voi etsiä tallennettujen lokien kautta tarkastus käyttämällä ausearch ja aurinkoportti apuohjelmat. Tarkastussäännöt ovat hakemistossa, / etc / audit / audit.sääntöjä jonka voi lukea auditctl käynnistyksessä. Näitä sääntöjä voidaan myös muokata auditctl. Auditd-määritystiedosto on saatavilla osoitteesta / etc / audit / auditd.konf.

Asennus

Debian-pohjaisissa Linux-jakeluissa seuraavaa komentoa voidaan käyttää auditd: n asentamiseen, ellei sitä ole vielä asennettu:

[sähköposti suojattu]: ~ $ sudo apt-get install auditd audispd-plugins

Auditoinnin peruskomento:

Auditoinnin aloittaminen:

$ palvelun tarkastus alku

Auditoinnin lopettaminen:

$ service auditd stop

Auditd: n uudelleenkäynnistys:

$ service auditd käynnistä uudelleen

Audit-tilan hakeminen:

$ service auditd -tila

Ehdollisen uudelleenkäynnistyksen auditd:

$ service auditd condrestart

Lataa auditd-palvelu uudelleen:

$ service auditd lataa uudelleen

Tarkistettujen lokien pyörittäminen:

$ service auditd kiertää

Audit-määritysten ulostulon tarkistaminen:

$ chkconfig --list auditd

Mitä tietoja lokiin voidaan tallentaa?

• Aikaleima ja tapahtuman tiedot, kuten tapahtuman tyyppi ja tulos.
• Tapahtuma laukaistiin yhdessä sen käynnistäneen käyttäjän kanssa.
• Muutokset auditointiasetustiedostoihin.
• Tarkastuslokitiedostojen käyttöyritykset.
• Kaikki todennustapahtumat todennettujen käyttäjien kanssa, kuten ssh jne.
• Muutokset arkaluontoisiin tiedostoihin tai tietokantoihin, kuten salasanat kansioon / etc / passwd.
• Saapuvat ja lähtevät tiedot järjestelmästä ja järjestelmään.

Muut tarkastukseen liittyvät apuohjelmat:

Seuraavassa on joitain muita tarkastukseen liittyviä tärkeitä apuohjelmia. Keskustelemme vain muutamasta niistä yksityiskohtaisesti, joita käytetään yleisesti.

auditctl:

Tätä apuohjelmaa käytetään tarkastuksen käyttäytymistilan saamiseen, tarkastusten määritysten asettamiseen, muuttamiseen tai päivittämiseen. Syntaksi auditctl-käytölle on:

auditctl [vaihtoehdot]

Seuraavassa on eniten käytettyjä vaihtoehtoja tai lippua:

-w

Kellon lisääminen tiedostoon, mikä tarkoittaa auditointia, pitää sitä silmällä ja lisää kyseiseen tiedostoon liittyvät käyttäjän toimet lokeihin.

-k

Suodatinavaimen tai nimen syöttäminen määritettyyn kokoonpanoon.

-s

Suodattimen lisääminen tiedostojen luvalla.

-S

Konfiguroinnin lokin sieppauksen estäminen.

-a

Saadaksesi kaikki tulokset tämän vaihtoehdon määritetylle syötteelle.

Esimerkiksi, jos haluat lisätä kellotiedostoon / etc / shadow-tiedoston, jossa on suodatettu avainsana 'shadow-key' ja joiden käyttöoikeudet ovat 'rwxa':

$ auditctl -w / etc / shadow -k shadow-file -p rwxa

aurinkoportti:

Tätä apuohjelmaa käytetään tarkastuslokien yhteenvetoraporttien luomiseen tallennetuista lokeista. Raportin syöttö voi olla myös raakalokitietoa, joka syötetään aureporttiin stdinin avulla. Aurakseportin käytön perussyntaksi on:

aureport [vaihtoehdot]

Jotkut perus- ja yleisimmin käytetyistä aureport-vaihtoehdoista ovat alla:

-k

Raportin luominen tarkastussäännöissä tai kokoonpanoissa määritettyjen avainten perusteella.

-i

Tekstitietojen näyttäminen numeeristen tietojen, kuten id, sijaan, kuten käyttäjänimen näyttäminen käyttäjätunnuksen sijaan.

-au

Luo raportti todentamisyrityksistä kaikille käyttäjille.

-l

Luodaan raportti, joka näyttää käyttäjien kirjautumistiedot.

ausearch:

Tämä apuohjelma etsii tarkastuslokeja tai tapahtumia. Hakutulokset näytetään vastineeksi erilaisten hakulausekkeiden perusteella. Kuten aureport, nämä hakukyselyt voivat myös olla raakalokitietoja, jotka syötetään ausearchiin stdinin avulla. Oletusarvoisesti ausearch kysyy osoitteeseen sijoitetut lokit / var / log / audit / audit.Hirsi, joka voidaan näyttää suoraan tai käyttää kirjoituskomennona seuraavasti:

$ cat / var / log / audit / audit.Hirsi

Yksinkertainen syntaksi ausearchin käyttämiselle on:

ausearch [vaihtoehdot]

Lisäksi on olemassa tiettyjä lippuja, joita voidaan käyttää ausearch-komennolla, joitain yleisesti käytettyjä lippuja ovat:

-s

Tätä lippua käytetään prosessitunnusten syöttämiseen lokien hakukyselyihin, esim.g., ausearch -p 6171.

-m

Tätä lippua käytetään etsimään tiettyjä merkkijonoja lokitiedostoista, esim.g., ausearch -m USER_LOGIN.

-sv

Tämä vaihtoehto on menestysarvo, jos käyttäjä kysyy onnistumisarvoa tietylle lokien osalle. Tätä lippua käytetään usein -m-lipun kanssa, kuten ausearch -m USER_LOGIN -sv nro.

-ua

Tätä asetusta käytetään syöttämään käyttäjätunnussuodatin hakulausekkeelle, esim.g., ausearch -ua juuri.

-ts

Tätä asetusta käytetään aikaleimasuodattimen syöttämiseen hakulausekkeelle, esim.g., ausearch -ts eilen.

auditspd:

Tätä apuohjelmaa käytetään daemonina tapahtumien multipleksointiin.

autrace:

Tätä apuohjelmaa käytetään binäärien jäljittämiseen tarkastuskomponenttien avulla.

aulast:

Tämä apuohjelma näyttää viimeisimmät lokitietoihin tallennetut toiminnot.

aulastlog:

Tämä apuohjelma näyttää kaikkien käyttäjien tai tietyn käyttäjän viimeisimmät kirjautumistiedot.

ausyscall:

Tämä apuohjelma mahdollistaa järjestelmän kutsunimien ja numeroiden kartoituksen.

auvirt:

Tämä apuohjelma näyttää tarkastustiedot erityisesti virtuaalikoneille.

Lopuksi

Vaikka Linux-tarkastus on suhteellisen edistynyt aihe ei-teknisille Linux-käyttäjille, mutta antaa käyttäjien päättää itse, Linux tarjoaa. Toisin kuin muut käyttöjärjestelmät, Linux-käyttöjärjestelmät pyrkivät pitämään käyttäjät hallitsemaan omaa ympäristöään. Myös aloittelija tai ei-tekninen käyttäjä on aina oppittava oman kasvunsa puolesta. Toivottavasti tämä artikkeli auttoi sinua oppimaan jotain uutta ja hyödyllistä.