Phenquestions
Vad är Auditd?
Auditd är userpace-komponenten till Linux Auditing System. Auditd är en förkortning för Linux Audit Daemon. I Linux kallas daemon bakgrundskörningstjänst och det finns ett 'd' i slutet av applikationstjänsten när det körs i bakgrunden. Uppgiften för auditd är att samla in och skriva loggfiler för revision till disken som en bakgrundstjänst
Varför använda auditd?
Denna Linux-tjänst ger användaren en säkerhetsgranskningsaspekt i Linux. Loggarna som samlas in och sparas av auditd, är olika aktiviteter som utförs i Linux-miljön av användaren och om det finns ett fall där någon användare vill fråga vad andra användare har gjort i företags- eller fleranvändarmiljö kan den användaren få tillgång till denna typ av information i en förenklad och minimerad form, så kallade loggar. Om det har förekommit en ovanlig aktivitet på en användares system, låt oss säga att hans system har äventyrats, då kan användaren spåra tillbaka och se hur dess system komprometteras och detta kan också hjälpa till i många fall för incidenthantering.
Grunderna för revision d
Användaren kan söka igenom de sparade loggarna efter granskning använder sig av ausearch och aureport verktyg. Granskningsreglerna finns i katalogen, / etc / revision / revision.regler som kan läsas av auditctl vid start. Dessa regler kan också ändras med auditctl. Det finns auditd konfigurationsfil tillgänglig på / etc / revision / auditd.konf.
Installation
I debianbaserade Linux-distributioner kan följande kommando användas för att installera auditd, om det inte redan är installerat:
[e-postskyddad]: ~ $ sudo apt-get install auditd audispd-pluginsGrundläggande kommando för auditd:
För att starta revision:
$ service auditd startFör att stoppa revisiond:
$ service auditd stoppFör att starta om auditd:
$ service auditd starta omFör att hämta auditd-status:
$ service auditd statusFör villkorlig omstart av auditd:
$ service auditd omstartFör omladdning av revisionstjänst:
$ service auditd ladda omFör roterande auditd-loggar:
$ service auditd roteraFör att kontrollera output för auditd-konfigurationer:
$ chkconfig --lista revisiondVilken information kan registreras i loggar?
- Tidsstämpel och händelseinformation såsom typ och resultat av en händelse.
- Händelse utlöst tillsammans med användaren som utlöste den.
- Ändringar i granskning av konfigurationsfiler.
- Åtkomstförsök för granskningsloggfiler.
- Alla autentiseringshändelser med autentiserade användare som ssh, etc.
- Ändringar av känsliga filer eller databaser som lösenord i / etc / passwd.
- Inkommande och utgående information från och till systemet.
Andra verktyg relaterade till revision:
Några andra viktiga verktyg relaterade till granskning ges nedan. Vi kommer bara att diskutera några av dem i detalj, som ofta används.
auditctl:
Detta verktyg används för att få beteendestatus för revision, ställa in, ändra eller uppdatera revisionskonfigurationer. Syntax för auditctl-användning är:
auditctl [alternativ]Följande är de alternativ eller flagga som mest används:
-w
Att lägga till en klocka i en fil vilket innebär att granskning kommer att hålla ett öga på den filen och lägga till användaraktiviteter relaterade till den filen i loggarna.
-k
För att mata in en filternyckel eller ett namn till angiven konfiguration.
-sid
För att lägga till ett filter baserat på tillstånd från filer.
-S
För att undertrycka loggtagning för en konfiguration.
-a
För att få alla resultat för den angivna inmatningen av detta alternativ.
Till exempel, för att lägga till en klocka på / etc / shadow-fil med det filtrerade nyckelordet 'shadow-key' och med behörigheter som 'rwxa':
$ auditctl -w / etc / shadow -k shadow-file -p rwxaaureport:
Detta verktyg används för att generera sammanfattningsrapporter för granskningsloggar från de inspelade loggarna. Rapportinmatningen kan också vara rå loggdata som matas till aureport med stdin. Grundläggande syntax för aureportanvändning är:
aureport [alternativ]Några av de grundläggande och mest använda aureportalternativen är som under:
-k
Att generera en rapport baserad på de nycklar som anges i granskningsreglerna eller konfigurationerna.
-i
För att visa textinformation snarare än numerisk information som id, som att visa användarnamn istället för användar-ID.
-au
Att generera rapport om autentiseringsförsök för alla användare.
-l
För att generera en rapport som visar användarnas inloggningsinformation.
ausearch:
Detta verktyg är ett sökverktyg för granskningsloggar eller händelser. Sökresultaten visas i retur, baserat på olika sökfrågor. Liksom aureport kan dessa sökfrågor också vara rå loggdata som matas till ausearch med hjälp av stdin. Ausearch frågar som standard loggarna som placeras på / var / log / revision / revision.logga, som kan visas direkt eller nås som skrivkommando enligt nedan:
$ cat / var / log / audit / audit.loggaDen enkla syntaxen för att använda ausearch är:
ausearch [alternativ]Det finns också vissa flaggor som kan användas med ausearch-kommandot, några vanliga flaggor är:
-sid
Denna flagga används för att mata in process-ID: n för att söka efter loggar, t.ex.g., ausearch -p 6171.
-m
Denna flagga används för att söka efter specifika strängar i loggfiler, t.ex.g., ausearch -m USER_LOGIN.
-sv
Det här alternativet är framgångsvärden om användaren frågar efter framgångsvärde för en viss del av loggarna. Denna flagga används ofta med -m flagga som ausearch -m USER_LOGIN -sv nr.
-ua
Detta alternativ används för att mata in ett användarnamnfilter för sökfrågan, t.ex.g., ausearch -ua rot.
-ts
Detta alternativ används för att mata in ett tidsstämpelfilter för sökfrågan, t.ex.g., ausearch -ts igår.
auditspd:
Detta verktyg används som en demon för multiplexering av händelser.
autrace:
Detta verktyg används för att spåra binära filer med hjälp av granskningskomponenter.
aulast:
Detta verktyg visar de senaste aktiviteterna som registrerats i loggar.
aulastlog:
Detta verktyg visar den senaste inloggningsinformationen för alla användare eller en viss användare.
ausyscall:
Detta verktyg möjliggör mappning av systemanropens namn och nummer.
auvirt:
Detta verktyg visar granskningsinformationen specifikt för de virtuella maskinerna.
Avslutande
Även om Linuxgranskning är ett relativt avancerat ämne för icke-tekniska Linux-användare men att låta användarna bestämma själva, är det Linux erbjuder. Till skillnad från andra operativsystem tenderar Linux-operativsystem att hålla sina användare kontroll över sin egen miljö. Att också vara nybörjare eller icke-teknisk användare bör man alltid lära sig för sin egen tillväxt. Hoppas den här artikeln hjälpte dig att lära dig något nytt och användbart.
