Jak používat systém auditu v CentOS 7

Jak používat systém auditu v CentOS 7

Když naše role a funkce zahrnují správu všech prvků podnikové infrastruktury, ať už na úrovni sítě nebo systému, musíme mít užitečné nástroje pro monitorování, sledování událostí a zajištění optimálního výkonu všech jejích součástí.

Dnes zkontrolujeme jak implementovat a používat systém auditu Linuxu, nástroj pro mnoho neznámých. Víme, že existují nástroje třetích stran, které nám umožňují spravovat různé parametry v systému, ale tento nástroj přesahuje to, co potřebujeme, a my se podíváme proč.

V tomto kurzu analyzujeme nástroj v prostředí CentOS 7.

1. Znát systém auditu Linuxu


Díky systému auditu můžeme být informováni o základních bezpečnostních informacích v našem systému.

Systém auditu nám poskytuje zprávy o všech událostech, které se v systému vyskytují, na základě předdefinovaných pravidel; Je důležité objasnit, že u systému auditu nepřidáváme do CentOS 7 zabezpečení, ale umožňuje nám analyzovat, jaké nedostatky má systém, aby v něm mohl provést nápravná opatření.

Informace schopné analýzy

  • Změny databáze, například změny cesty / etc / passwd.
  • Systém auditu poskytuje datum, čas a typ události.
  • Pokusy o import nebo export informací v systému.
  • Mechanismy autentizace uživatelů.
  • Všechny úpravy auditovaných změn a pokusy mimo jiné o přístup k protokolům auditu.

2. Ověřte instalaci systému auditu


V rámci systému auditu máme dvě důležitá schémata, která je třeba vzít v úvahu:

1. Jádro systému auditu přebírá všechny události zpracované uživatelem a odesílá tyto informace démonu auditu.

2. Démon auditu vezme tyto informace a vytvoří záznamy.

Systém auditu zpracovává dva balíčky: audit Y audit-libsTy jsou standardně nainstalovány v CentOS 7, jejich instalaci můžeme zkontrolovat pomocí následujícího příkazu: 

 sudo yum seznam auditních libs

V případě, že je nemáme, můžeme auditovací systém nainstalovat pomocí následujícího příkazu: 

 sudo yum nainstalovat audit
Jakmile jsou nainstalovány, musíme vidět následující text: 
 Instalované balíčky audit.x86_64 audit-libs.x86_64
Přejdeme ke konfiguraci systému.

3. Konfigurujte systém auditu v CentOS 7


Jakmile ověříme, že máme požadované balíčky, upravíme konfiguraci souboru auditd.conf a právě v tomto souboru máme možnost konfigurovat registry, události a další. K přístupu k tomuto souboru použijeme následující příkaz: 
 sudo nano /etc/audit/auditd.conf
Zobrazí se následující okno:

Nejdůležitější parametry

  • num_logs: Umožňuje definovat počet protokolů, které mají být zaznamenány v zařízení.
  • max_log_file: Pomocí tohoto parametru můžeme definovat maximální velikost protokolu.
  • space_left: Můžeme nastavit množství volného místa na disku.
  • disk_full_action: Můžeme definovat určitou akci, když je disk plný.

Jak vidíme, můžeme upravit různé parametry. Pokud například chceme, aby byl počet protokolů 12, jednoduše odstraníme výchozí hodnotu (5) a přidáme požadovanou (12). Pokud chceme změnit velikost protokolů na 20, jednoduše změníme výchozí hodnotu (6) na požadovanou (20).

Změny uložíme pomocí kombinace Ctrl + O a ukončíme editor pomocí kombinace Ctrl + X. Jakmile budou změny zpracovány, musíme restartovat službu auditu pomocí příkazu: 

 restart služby sudo service auditd
PoznámkaPokud chceme upravit parametry pravidel, musíme upravit soubor audit.rules pomocí následujícího příkazu: 
 /etc/audit/rules.d/audit.rules

4. Vysvětlení protokolů auditu systému v CentOS 7


Ve výchozím nastavení systém auditu ukládá do cesty všechny události, ke kterým došlo v CentOS /var/log/audit/audit.log a tyto soubory obsahují spoustu informací a kódu, které nemusí být pro mnohé z nás tak snadné pochopit, ale Solvetic se stará o to, aby tyto soubory trochu shrnul.

Abychom ukázali, jak systém auditu funguje, vytvořili jsme pravidlo s názvem sshconfigchange, které lze vytvořit pomocí následujícího příkazu: 

 sudo auditctl -w / etc / ssh / sshd_config -p rwxa -k sshconfigchange
Abychom viděli pravidlo, používáme následující syntaxi: 
 sudo cat / etc / ssh / sshd_config

Nyní uvidíme protokol vytvořený nástrojem pro audit systému zadáním následujícího: 

 sudo nano /var/log/audit/audit.log

Budeme se spoléhat na tři (3) důležité záznamy:

  • SYSCALL
  • CWD
  • CESTA

Tyto soubory jsou složeny následovně:

  • Klíčové slovo: Odkazuje na název procesu (PATH, CWD atd.)
  • Časové razítko: Odkazuje na datum a čas (1469708505.235)
  • Jít: Skládá se z ID příslušné události (153)

Akce SYSCALL
SYSCALL odkazuje na zprávu generovanou voláním jádra z auditovacího systému, pole zprávy = audit (1469708505.235:153):

V časové razítko a pole ID vidíme, že tyto tři záznamy mají stejnou hodnotu (1469708505.235: 153), což znamená, že tyto tři záznamy byly uloženy se stejnou událostí auditu.

The obloukové pole odkazuje na architekturu stroje, v tomto případě 40000003 označuje, že je to i386, pokud by to byla hodnota c000003e, odkazovalo by to na stroj x86_64.

The Syscall pole zmiňuje typ hovoru, který byl odeslán do systému. Hodnota se může lišit, v tomto případě je 5. K zobrazení stavu služby (Otevřít) můžeme použít příkaz sudo ausyscall 5.

Existuje více než 300 hodnot, pokud chceme vidět, co hodnoty obecně znamenají, můžeme použít příkaz: 

 sudo ausyscall -dump
A uvidíme všechny hodnoty a jejich význam:

The Pole úspěchu Říká nám, zda bylo volání události úspěšné nebo ne, ano nebo ne. Můžeme vyhledat událost SYSCALL a posunout se doleva, abychom viděli další zahrnuté sestavy.

The uid pole odkazuje na uživatele, který spustil službu auditu, v tomto případě je uid = 0.

The komunikační pole odkazuje na příkaz, který byl použit k zobrazení zprávy, takže vidíme, že se zobrazuje jako comm = "kočka".

The exe pole Udává cestu k příkazu, který generoval událost auditu, na tomto příkladu vidíme, že je to exe = " / usr / bin / cat".

Událost CWD
V případě CWD si můžeme všimnout, že zde nejsou stejné informace jako v SYSCALL, zde máme adresář používaný k ukládání událostí, CWD- Current Working Directory, odtud vidíme hodnotu cwd = ” / home / solvetic”.

PATH událost
V poslední události, PATH, vidíme, že pole jména který odkazuje na soubor nebo adresář, který byl použit k vytvoření auditu, v tomto případě vidíme následující: name = " / etc / ssh / sshd_config".

5. Hledat události auditu pro konkrétní události


Jedním z nejzajímavějších způsobů, jak můžeme vyhledat událost v CentOS 7, je použití syntaxe: 
 sudo ausearch -m Event_name --začněte dnes -i
Tento příkaz nám umožňuje filtrovat určitou událost a nemuset prohledávat celý soubor událostí, protože je rozsáhlý. V tomto případě vyhledáme všechny události spojené s přihlášením, proto zadáme následující: 
 sudo ausearch -m PŘIHLÁSIT --spusťte dnes -i
Získaný výsledek bude následující:

Je také možné filtrovat vyhledávání podle ID události, proto použijeme následující syntaxi: 

 sudo ausearch -a ID události
Dále uvidíme, jak generovat zprávy.

6. Generujte zprávy o auditu


Jedním ze způsobů, jak můžeme lépe spravovat události, je podrobná zpráva o tom, co se děje v CentOS 7, a pomocí systému auditu můžeme generovat zprávy, které jsou jednoduché a srozumitelné, aby nám pomohly při správě. K tomu použijeme příkaz: 
 sudo aureport -x -summary
A uvidíme získaný výsledek:

První sloupec, který vidíme, udává, kolikrát byl příkaz proveden, a druhý sloupec ukazuje, který příkaz byl proveden. Stejným způsobem můžeme generovat sestavu s neúspěšnými událostmi pomocí příkazu: 

 sudo aureport -se nezdařilo

Pokud chceme vygenerovat sestavu s uživatelskými jmény a systémovými voláními, použijeme příkaz: 

 sudo aureport -f -i

7. Jak analyzovat procesy jednotlivě


Je možné, že někdy musíme analyzovat procesy jednotlivě a ne celý adresář, proto použijeme autrace, tento nástroj nám umožňuje sledovat systémová volání konkrétního procesu. Výsledky autrace jsou uloženy v cestě: 
 /var/log/audit/audit.log
Například budeme analyzovat cestu / bin / datumK tomu použijeme následující: 
 sudo autrace / bin / datum

Vidíme, že byla vytvořena událost s ID 16541. Nyní přejdeme k zadání následujícího příkazu, abychom viděli souhrn událostí: 

 udo ausearch -p 16541 --raw | aureport -f -i

Tímto způsobem můžeme analyzovat soubory jednotlivě. V následujícím odkazu můžeme vidět všechny typy záznamů, které mohou být auditovány auditním systémem v CentOS 7.

Tímto způsobem vidíme, jak nám systém auditu v CentOS 7 může pomoci spravovat a dohlížet na události, ke kterým dochází v našich počítačích, a zajistit tak, abychom měli bezpečný, stabilní a optimální systém.

Nakonec vám ponecháme výukový program k bezplatnému nástroji WinAudit k provádění auditů ve Windows:

Auditujte pomocí WinAudit

Vám pomůže rozvoji místa, sdílet stránku s přáteli

wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
▷ Jak uložit fotografii signálu do galerie
2
post-title
Jak vědět, KDO ZACHYCUJE vaše dočasné FOTKY na INSTAGRAMU
3
post-title
Jak nainstalovat Apache CouchDB na CentOS 7
4
post-title
Obnovte a odstraňte zapomenuté heslo systému Windows 10 bez formátování Hiren's BootCD PE
5
post-title
Jak uložit příkazy CMD nebo PowerShell do souboru txt

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -