Apa itu Auditd?
Auditd adalah komponen ruang pengguna untuk Sistem Pengauditan Linux. Auditd adalah kependekan dari Linux Audit Daemon. Di Linux, daemon disebut sebagai layanan menjalankan latar belakang dan ada 'd' yang terpasang di akhir layanan aplikasi karena berjalan di latar belakang. Tugas auditd adalah mengumpulkan dan menulis fail log audit ke disk sebagai perkhidmatan latar belakang
Mengapa menggunakan auditd?
Perkhidmatan Linux ini memberikan pengguna aspek audit keselamatan di Linux. Log yang dikumpulkan dan disimpan oleh auditd, adalah aktiviti yang berbeza yang dilakukan di lingkungan Linux oleh pengguna dan jika ada kes di mana pengguna ingin menanyakan apa yang telah dilakukan oleh pengguna lain di persekitaran korporat atau berbilang pengguna, pengguna tersebut dapat dapatkan maklumat seperti ini dalam bentuk yang dipermudahkan dan dikurangkan, yang dikenali sebagai log. Juga, jika terdapat aktiviti yang tidak biasa pada sistem pengguna, katakan sistemnya telah dikompromikan, maka pengguna dapat mengesan kembali dan melihat bagaimana sistemnya dikompromikan dan ini juga dapat membantu dalam banyak kes untuk merespon insiden.
Asas auditd
Pengguna boleh mencari melalui log yang disimpan dengan auditd menggunakan carian aus dan lapangan terbang utiliti. Peraturan audit ada di dalam direktori, / dll / audit / audit.peraturan yang boleh dibaca oleh auditctl pada permulaan. Juga, peraturan ini juga dapat diubah dengan menggunakan auditctl. Terdapat fail konfigurasi auditd yang tersedia di / dll / audit / auditd.pengesahan.
Pemasangan
Dalam distribusi Linux berasaskan debian, perintah berikut dapat digunakan untuk memasang auditd, jika belum dipasang:
[dilindungi e-mel]: ~ $ sudo apt-get install auditd audispd-pluginsPerintah asas untuk auditd:
Untuk memulakan auditd:
$ perkhidmatan auditd bermulaUntuk menghentikan auditd:
$ perkhidmatan auditd berhentiUntuk memulakan semula auditd:
$ perkhidmatan auditd dimulakan semulaUntuk mendapatkan status auditd:
$ perkhidmatan auditd statusUntuk memulakan semula auditd bersyarat:
$ perkhidmatan auditd condrestartUntuk tambah nilai perkhidmatan auditd:
$ perkhidmatan auditd tambah nilaiUntuk log auditd berputar:
$ perkhidmatan auditd putarUntuk memeriksa output konfigurasi auditd:
$ chkconfig - senarai auditdMaklumat apa yang boleh dicatat dalam log?
- Cap waktu dan maklumat acara seperti jenis dan hasil acara.
- Acara dicetuskan bersama dengan pengguna yang mencetuskannya.
- Perubahan pada fail konfigurasi audit.
- Akses percubaan untuk fail log audit.
- Semua peristiwa pengesahan dengan pengguna yang disahkan seperti ssh, dll.
- Perubahan pada fail atau pangkalan data sensitif seperti kata laluan di / etc / passwd.
- Maklumat masuk dan keluar dari dan ke sistem.
Utiliti lain yang berkaitan dengan audit:
Beberapa utiliti penting lain yang berkaitan dengan audit diberikan di bawah. Kami hanya akan membincangkan beberapa daripadanya secara terperinci, yang biasa digunakan.
auditctl:
Utiliti ini digunakan untuk mendapatkan status tingkah laku audit, menetapkan, mengubah atau mengemas kini konfigurasi audit. Sintaks untuk penggunaan auditctl adalah:
auditctl [pilihan]Berikut adalah pilihan atau bendera yang banyak digunakan:
-w
Untuk menambahkan jam tangan ke fail yang bermaksud audit akan mengawasi fail tersebut dan menambahkan aktiviti pengguna yang berkaitan dengan fail tersebut ke log.
-k
Untuk memasukkan kunci atau nama penapis ke konfigurasi yang ditentukan.
-hlm
Untuk menambah penapis berdasarkan kebenaran fail.
-S
Untuk menekan penangkapan log untuk konfigurasi.
-a
Untuk mendapatkan semua hasil input yang ditentukan dari pilihan ini.
Sebagai contoh, untuk menambahkan jam tangan pada / etc / shadow shadow dengan kata kunci yang disaring 'shadow-key' dan dengan izin sebagai 'rwxa':
$ auditctl -w / etc / shadow -k shadow-file -p rwxalapangan terbang:
Utiliti ini digunakan untuk menghasilkan laporan ringkasan log audit dari log yang direkodkan. Input laporan juga boleh menjadi data log mentah yang dimasukkan ke aureport menggunakan stdin. Sintaks asas untuk penggunaan aureport adalah:
aureport [pilihan]Beberapa pilihan aureport asas dan paling biasa digunakan adalah seperti di bawah:
-k
Untuk menghasilkan laporan berdasarkan kunci yang dinyatakan dalam peraturan audit atau konfigurasi.
-i
Untuk memaparkan maklumat teks dan bukannya maklumat berangka seperti id, seperti memaparkan nama pengguna dan bukan userid.
-au
Untuk menghasilkan laporan percubaan pengesahan untuk semua pengguna.
-l
Untuk menghasilkan laporan yang memaparkan maklumat log masuk pengguna.
carian aus:
Utiliti ini adalah mencari alat untuk log audit atau peristiwa. Hasil carian ditunjukkan sebagai balasan, berdasarkan pertanyaan carian yang berbeza. Seperti aureport, pertanyaan carian ini juga boleh menjadi data log mentah yang diumpankan ke ausearch menggunakan stdin. Secara lalai, ausearch menyoal log yang diletakkan di / var / log / audit / audit.balak, yang dapat langsung ditampilkan atau diakses sebagai perintah mengetik seperti di bawah:
$ cat / var / log / audit / audit.balakSintaks mudah untuk menggunakan carian adalah:
carian [pilihan]Juga, ada bendera tertentu yang dapat digunakan dengan perintah pencarian, beberapa bendera yang biasa digunakan adalah:
-hlm
Bendera ini digunakan untuk memasukkan ID proses untuk mencari pertanyaan untuk log, e.g., ausearch -p 6171.
-m
Bendera ini digunakan untuk mencari rentetan tertentu dalam fail log, e.g., ausearch -m USER_LOGIN.
-sv
Pilihan ini adalah nilai kejayaan jika pengguna meminta nilai kejayaan untuk bahagian log tertentu. Bendera ini sering digunakan dengan bendera -m seperti ausearch -m USER_LOGIN -sv no.
-ua
Pilihan ini digunakan untuk memasukkan penapis nama pengguna untuk pertanyaan carian, e.g., ausearch -ua root.
-ts
Pilihan ini digunakan untuk memasukkan penapis cap waktu untuk pertanyaan carian, e.g., ausearch -ts semalam.
audititspd:
Utiliti ini digunakan sebagai daemon untuk penggandaan acara.
automatik:
Utiliti ini digunakan untuk mengesan binari menggunakan komponen audit.
aulast:
Utiliti ini menunjukkan aktiviti terkini yang direkodkan dalam log.
aulastlog:
Utiliti ini menunjukkan maklumat masuk terkini dari semua pengguna atau pengguna tertentu.
ausyscall:
Utiliti ini membolehkan pemetaan nama dan nombor panggilan sistem.
auvirt:
Utiliti ini menunjukkan maklumat audit khusus untuk mesin maya.
Kesimpulannya
Walaupun Pengauditan Linux adalah topik yang agak maju untuk pengguna Linux bukan teknikal tetapi membiarkan pengguna memutuskan sendiri, itulah yang ditawarkan oleh Linux. Tidak seperti sistem operasi lain, sistem operasi Linux cenderung menjaga pengguna mereka mengawal persekitaran mereka sendiri. Juga sebagai pengguna baru atau bukan teknikal, seseorang harus selalu belajar untuk pertumbuhan seseorang. Semoga artikel ini membantu anda dalam mempelajari sesuatu yang baru dan berguna.