Když naše role a funkce zahrnují správu všech prvků podnikové infrastruktury, ať už na úrovni sítě nebo systému, musíme mít užitečné nástroje pro monitorování, sledování událostí a zajištění optimálního výkonu všech jejích součástí.
Dnes zkontrolujeme jak implementovat a používat systém auditu Linuxu, nástroj pro mnoho neznámých. Víme, že existují nástroje třetích stran, které nám umožňují spravovat různé parametry v systému, ale tento nástroj přesahuje to, co potřebujeme, a my se podíváme proč.
V tomto kurzu analyzujeme nástroj v prostředí CentOS 7.
1. Znát systém auditu Linuxu
Díky systému auditu můžeme být informováni o základních bezpečnostních informacích v našem systému.
Systém auditu nám poskytuje zprávy o všech událostech, které se v systému vyskytují, na základě předdefinovaných pravidel; Je důležité objasnit, že u systému auditu nepřidáváme do CentOS 7 zabezpečení, ale umožňuje nám analyzovat, jaké nedostatky má systém, aby v něm mohl provést nápravná opatření.
Informace schopné analýzy
- Změny databáze, například změny cesty / etc / passwd.
- Systém auditu poskytuje datum, čas a typ události.
- Pokusy o import nebo export informací v systému.
- Mechanismy autentizace uživatelů.
- Všechny úpravy auditovaných změn a pokusy mimo jiné o přístup k protokolům auditu.
2. Ověřte instalaci systému auditu
V rámci systému auditu máme dvě důležitá schémata, která je třeba vzít v úvahu:
1. Jádro systému auditu přebírá všechny události zpracované uživatelem a odesílá tyto informace démonu auditu.
2. Démon auditu vezme tyto informace a vytvoří záznamy.
Systém auditu zpracovává dva balíčky: audit Y audit-libsTy jsou standardně nainstalovány v CentOS 7, jejich instalaci můžeme zkontrolovat pomocí následujícího příkazu:
sudo yum seznam auditních libs
V případě, že je nemáme, můžeme auditovací systém nainstalovat pomocí následujícího příkazu:
sudo yum nainstalovat auditJakmile jsou nainstalovány, musíme vidět následující text:
Instalované balíčky audit.x86_64 audit-libs.x86_64Přejdeme ke konfiguraci systému.
3. Konfigurujte systém auditu v CentOS 7
Jakmile ověříme, že máme požadované balíčky, upravíme konfiguraci souboru auditd.conf a právě v tomto souboru máme možnost konfigurovat registry, události a další. K přístupu k tomuto souboru použijeme následující příkaz:
sudo nano /etc/audit/auditd.confZobrazí se následující okno:
Nejdůležitější parametry
- num_logs: Umožňuje definovat počet protokolů, které mají být zaznamenány v zařízení.
- max_log_file: Pomocí tohoto parametru můžeme definovat maximální velikost protokolu.
- space_left: Můžeme nastavit množství volného místa na disku.
- disk_full_action: Můžeme definovat určitou akci, když je disk plný.
Jak vidíme, můžeme upravit různé parametry. Pokud například chceme, aby byl počet protokolů 12, jednoduše odstraníme výchozí hodnotu (5) a přidáme požadovanou (12). Pokud chceme změnit velikost protokolů na 20, jednoduše změníme výchozí hodnotu (6) na požadovanou (20).
Změny uložíme pomocí kombinace Ctrl + O a ukončíme editor pomocí kombinace Ctrl + X. Jakmile budou změny zpracovány, musíme restartovat službu auditu pomocí příkazu:
restart služby sudo service auditdPoznámkaPokud chceme upravit parametry pravidel, musíme upravit soubor audit.rules pomocí následujícího příkazu:
/etc/audit/rules.d/audit.rules
4. Vysvětlení protokolů auditu systému v CentOS 7
Ve výchozím nastavení systém auditu ukládá do cesty všechny události, ke kterým došlo v CentOS /var/log/audit/audit.log a tyto soubory obsahují spoustu informací a kódu, které nemusí být pro mnohé z nás tak snadné pochopit, ale Solvetic se stará o to, aby tyto soubory trochu shrnul.
Abychom ukázali, jak systém auditu funguje, vytvořili jsme pravidlo s názvem sshconfigchange, které lze vytvořit pomocí následujícího příkazu:
sudo auditctl -w / etc / ssh / sshd_config -p rwxa -k sshconfigchangeAbychom viděli pravidlo, používáme následující syntaxi:
sudo cat / etc / ssh / sshd_config
Nyní uvidíme protokol vytvořený nástrojem pro audit systému zadáním následujícího:
sudo nano /var/log/audit/audit.log
Budeme se spoléhat na tři (3) důležité záznamy:
- SYSCALL
- CWD
- CESTA
Tyto soubory jsou složeny následovně:
- Klíčové slovo: Odkazuje na název procesu (PATH, CWD atd.)
- Časové razítko: Odkazuje na datum a čas (1469708505.235)
- Jít: Skládá se z ID příslušné události (153)
Akce SYSCALL
SYSCALL odkazuje na zprávu generovanou voláním jádra z auditovacího systému, pole zprávy = audit (1469708505.235:153):
V časové razítko a pole ID vidíme, že tyto tři záznamy mají stejnou hodnotu (1469708505.235: 153), což znamená, že tyto tři záznamy byly uloženy se stejnou událostí auditu.
The obloukové pole odkazuje na architekturu stroje, v tomto případě 40000003 označuje, že je to i386, pokud by to byla hodnota c000003e, odkazovalo by to na stroj x86_64.
The Syscall pole zmiňuje typ hovoru, který byl odeslán do systému. Hodnota se může lišit, v tomto případě je 5. K zobrazení stavu služby (Otevřít) můžeme použít příkaz sudo ausyscall 5.
Existuje více než 300 hodnot, pokud chceme vidět, co hodnoty obecně znamenají, můžeme použít příkaz:
sudo ausyscall -dumpA uvidíme všechny hodnoty a jejich význam:
The Pole úspěchu Říká nám, zda bylo volání události úspěšné nebo ne, ano nebo ne. Můžeme vyhledat událost SYSCALL a posunout se doleva, abychom viděli další zahrnuté sestavy.
The uid pole odkazuje na uživatele, který spustil službu auditu, v tomto případě je uid = 0.
The komunikační pole odkazuje na příkaz, který byl použit k zobrazení zprávy, takže vidíme, že se zobrazuje jako comm = "kočka".
The exe pole Udává cestu k příkazu, který generoval událost auditu, na tomto příkladu vidíme, že je to exe = " / usr / bin / cat".
Událost CWD
V případě CWD si můžeme všimnout, že zde nejsou stejné informace jako v SYSCALL, zde máme adresář používaný k ukládání událostí, CWD- Current Working Directory, odtud vidíme hodnotu cwd = ” / home / solvetic”.
PATH událost
V poslední události, PATH, vidíme, že pole jména který odkazuje na soubor nebo adresář, který byl použit k vytvoření auditu, v tomto případě vidíme následující: name = " / etc / ssh / sshd_config".
5. Hledat události auditu pro konkrétní události
Jedním z nejzajímavějších způsobů, jak můžeme vyhledat událost v CentOS 7, je použití syntaxe:
sudo ausearch -m Event_name --začněte dnes -iTento příkaz nám umožňuje filtrovat určitou událost a nemuset prohledávat celý soubor událostí, protože je rozsáhlý. V tomto případě vyhledáme všechny události spojené s přihlášením, proto zadáme následující:
sudo ausearch -m PŘIHLÁSIT --spusťte dnes -iZískaný výsledek bude následující:
Je také možné filtrovat vyhledávání podle ID události, proto použijeme následující syntaxi:
sudo ausearch -a ID událostiDále uvidíme, jak generovat zprávy.
6. Generujte zprávy o auditu
Jedním ze způsobů, jak můžeme lépe spravovat události, je podrobná zpráva o tom, co se děje v CentOS 7, a pomocí systému auditu můžeme generovat zprávy, které jsou jednoduché a srozumitelné, aby nám pomohly při správě. K tomu použijeme příkaz:
sudo aureport -x -summaryA uvidíme získaný výsledek:
První sloupec, který vidíme, udává, kolikrát byl příkaz proveden, a druhý sloupec ukazuje, který příkaz byl proveden. Stejným způsobem můžeme generovat sestavu s neúspěšnými událostmi pomocí příkazu:
sudo aureport -se nezdařilo
Pokud chceme vygenerovat sestavu s uživatelskými jmény a systémovými voláními, použijeme příkaz:
sudo aureport -f -i
7. Jak analyzovat procesy jednotlivě
Je možné, že někdy musíme analyzovat procesy jednotlivě a ne celý adresář, proto použijeme autrace, tento nástroj nám umožňuje sledovat systémová volání konkrétního procesu. Výsledky autrace jsou uloženy v cestě:
/var/log/audit/audit.logNapříklad budeme analyzovat cestu / bin / datumK tomu použijeme následující:
sudo autrace / bin / datum
Vidíme, že byla vytvořena událost s ID 16541. Nyní přejdeme k zadání následujícího příkazu, abychom viděli souhrn událostí:
udo ausearch -p 16541 --raw | aureport -f -i
Tímto způsobem můžeme analyzovat soubory jednotlivě. V následujícím odkazu můžeme vidět všechny typy záznamů, které mohou být auditovány auditním systémem v CentOS 7.
Tímto způsobem vidíme, jak nám systém auditu v CentOS 7 může pomoci spravovat a dohlížet na události, ke kterým dochází v našich počítačích, a zajistit tak, abychom měli bezpečný, stabilní a optimální systém.
Nakonec vám ponecháme výukový program k bezplatnému nástroji WinAudit k provádění auditů ve Windows:
Auditujte pomocí WinAudit