Keselamatan

Tutorial Auditd Linux

Tutorial Auditd Linux

Apa itu Auditd?

Auditd adalah komponen ruang pengguna untuk Sistem Pengauditan Linux. Auditd adalah kependekan dari Linux Audit Daemon. Di Linux, daemon disebut sebagai layanan menjalankan latar belakang dan ada 'd' yang terpasang di akhir layanan aplikasi karena berjalan di latar belakang. Tugas auditd adalah mengumpulkan dan menulis fail log audit ke disk sebagai perkhidmatan latar belakang

Mengapa menggunakan auditd?

Perkhidmatan Linux ini memberikan pengguna aspek audit keselamatan di Linux. Log yang dikumpulkan dan disimpan oleh auditd, adalah aktiviti yang berbeza yang dilakukan di lingkungan Linux oleh pengguna dan jika ada kes di mana pengguna ingin menanyakan apa yang telah dilakukan oleh pengguna lain di persekitaran korporat atau berbilang pengguna, pengguna tersebut dapat dapatkan maklumat seperti ini dalam bentuk yang dipermudahkan dan dikurangkan, yang dikenali sebagai log. Juga, jika terdapat aktiviti yang tidak biasa pada sistem pengguna, katakan sistemnya telah dikompromikan, maka pengguna dapat mengesan kembali dan melihat bagaimana sistemnya dikompromikan dan ini juga dapat membantu dalam banyak kes untuk merespon insiden.

Asas auditd

Pengguna boleh mencari melalui log yang disimpan dengan auditd menggunakan carian aus dan lapangan terbang utiliti. Peraturan audit ada di dalam direktori, / dll / audit / audit.peraturan yang boleh dibaca oleh auditctl pada permulaan. Juga, peraturan ini juga dapat diubah dengan menggunakan auditctl. Terdapat fail konfigurasi auditd yang tersedia di / dll / audit / auditd.pengesahan.

Pemasangan

Dalam distribusi Linux berasaskan debian, perintah berikut dapat digunakan untuk memasang auditd, jika belum dipasang:

[dilindungi e-mel]: ~ $ sudo apt-get install auditd audispd-plugins

Perintah asas untuk auditd:

Untuk memulakan auditd:

$ perkhidmatan auditd bermula

Untuk menghentikan auditd:

$ perkhidmatan auditd berhenti

Untuk memulakan semula auditd:

$ perkhidmatan auditd dimulakan semula

Untuk mendapatkan status auditd:

$ perkhidmatan auditd status

Untuk memulakan semula auditd bersyarat:

$ perkhidmatan auditd condrestart

Untuk tambah nilai perkhidmatan auditd:

$ perkhidmatan auditd tambah nilai

Untuk log auditd berputar:

$ perkhidmatan auditd putar

Untuk memeriksa output konfigurasi auditd:

$ chkconfig - senarai auditd

Maklumat apa yang boleh dicatat dalam log?

Utiliti lain yang berkaitan dengan audit:

Beberapa utiliti penting lain yang berkaitan dengan audit diberikan di bawah. Kami hanya akan membincangkan beberapa daripadanya secara terperinci, yang biasa digunakan.

auditctl:

Utiliti ini digunakan untuk mendapatkan status tingkah laku audit, menetapkan, mengubah atau mengemas kini konfigurasi audit. Sintaks untuk penggunaan auditctl adalah:

auditctl [pilihan]

Berikut adalah pilihan atau bendera yang banyak digunakan:

-w

Untuk menambahkan jam tangan ke fail yang bermaksud audit akan mengawasi fail tersebut dan menambahkan aktiviti pengguna yang berkaitan dengan fail tersebut ke log.

-k

Untuk memasukkan kunci atau nama penapis ke konfigurasi yang ditentukan.

-hlm

Untuk menambah penapis berdasarkan kebenaran fail.

-S

Untuk menekan penangkapan log untuk konfigurasi.

-a

Untuk mendapatkan semua hasil input yang ditentukan dari pilihan ini.

Sebagai contoh, untuk menambahkan jam tangan pada / etc / shadow shadow dengan kata kunci yang disaring 'shadow-key' dan dengan izin sebagai 'rwxa':

$ auditctl -w / etc / shadow -k shadow-file -p rwxa

lapangan terbang:

Utiliti ini digunakan untuk menghasilkan laporan ringkasan log audit dari log yang direkodkan. Input laporan juga boleh menjadi data log mentah yang dimasukkan ke aureport menggunakan stdin. Sintaks asas untuk penggunaan aureport adalah:

aureport [pilihan]

Beberapa pilihan aureport asas dan paling biasa digunakan adalah seperti di bawah:

-k

Untuk menghasilkan laporan berdasarkan kunci yang dinyatakan dalam peraturan audit atau konfigurasi.

-i

Untuk memaparkan maklumat teks dan bukannya maklumat berangka seperti id, seperti memaparkan nama pengguna dan bukan userid.

-au

Untuk menghasilkan laporan percubaan pengesahan untuk semua pengguna.

-l

Untuk menghasilkan laporan yang memaparkan maklumat log masuk pengguna.

carian aus:

Utiliti ini adalah mencari alat untuk log audit atau peristiwa. Hasil carian ditunjukkan sebagai balasan, berdasarkan pertanyaan carian yang berbeza. Seperti aureport, pertanyaan carian ini juga boleh menjadi data log mentah yang diumpankan ke ausearch menggunakan stdin. Secara lalai, ausearch menyoal log yang diletakkan di / var / log / audit / audit.balak, yang dapat langsung ditampilkan atau diakses sebagai perintah mengetik seperti di bawah:

$ cat / var / log / audit / audit.balak

Sintaks mudah untuk menggunakan carian adalah:

carian [pilihan]

Juga, ada bendera tertentu yang dapat digunakan dengan perintah pencarian, beberapa bendera yang biasa digunakan adalah:

-hlm

Bendera ini digunakan untuk memasukkan ID proses untuk mencari pertanyaan untuk log, e.g., ausearch -p 6171.

-m

Bendera ini digunakan untuk mencari rentetan tertentu dalam fail log, e.g., ausearch -m USER_LOGIN.

-sv

Pilihan ini adalah nilai kejayaan jika pengguna meminta nilai kejayaan untuk bahagian log tertentu. Bendera ini sering digunakan dengan bendera -m seperti ausearch -m USER_LOGIN -sv no.

-ua

Pilihan ini digunakan untuk memasukkan penapis nama pengguna untuk pertanyaan carian, e.g., ausearch -ua root.

-ts

Pilihan ini digunakan untuk memasukkan penapis cap waktu untuk pertanyaan carian, e.g., ausearch -ts semalam.

audititspd:

Utiliti ini digunakan sebagai daemon untuk penggandaan acara.

automatik:

Utiliti ini digunakan untuk mengesan binari menggunakan komponen audit.

aulast:

Utiliti ini menunjukkan aktiviti terkini yang direkodkan dalam log.

aulastlog:

Utiliti ini menunjukkan maklumat masuk terkini dari semua pengguna atau pengguna tertentu.

ausyscall:

Utiliti ini membolehkan pemetaan nama dan nombor panggilan sistem.

auvirt:

Utiliti ini menunjukkan maklumat audit khusus untuk mesin maya.

Kesimpulannya

Walaupun Pengauditan Linux adalah topik yang agak maju untuk pengguna Linux bukan teknikal tetapi membiarkan pengguna memutuskan sendiri, itulah yang ditawarkan oleh Linux. Tidak seperti sistem operasi lain, sistem operasi Linux cenderung menjaga pengguna mereka mengawal persekitaran mereka sendiri. Juga sebagai pengguna baru atau bukan teknikal, seseorang harus selalu belajar untuk pertumbuhan seseorang. Semoga artikel ini membantu anda dalam mempelajari sesuatu yang baru dan berguna.

Permainan Cara memuat turun dan Mainkan Sid Meier's Civilization VI di Linux
Cara memuat turun dan Mainkan Sid Meier's Civilization VI di Linux
Pengenalan permainan Civilization 6 adalah konsep moden mengenai konsep klasik yang diperkenalkan dalam siri permainan Age of Empires. Idea itu cukup ...
Permainan Cara Memasang dan Memainkan Doom di Linux
Cara Memasang dan Memainkan Doom di Linux
Pengenalan Doom Seri Doom berasal dari tahun 90an selepas pembebasan Doom yang asal. Ini adalah hit seketika dan sejak saat itu dan seterusnya siri pe...
Permainan Vulkan untuk Pengguna Linux
Vulkan untuk Pengguna Linux
Dengan setiap kad grafik generasi baru, kami melihat pembangun permainan mendorong had kesetiaan grafik dan semakin dekat dengan fotorealisme. Tetapi ...