Jako správci systému, pracovníci podpůrné skupiny nebo jednoduše jako opatření udržující nejlepší úroveň kontroly jak na serveru, tak na klientských počítačích organizace, neustále kontroluje operační systém, aby byl o krok napřed před selháním, které může nastat a tím zachovat integritu a dostupnost systému i jeho rolí, služeb a prvků v něm uložených.
Co je audit LinuxuKdyž mluvíme o auditním systému v prostředí Linuxu, mluvíme o mechanismu, který poskytuje způsob, jak sledovat informace relevantní pro zabezpečení v uvedeném operačním systému.
Audit se skládá z prověření různých částí, které tvoří tento systém, konkrétně s kritickým hodnocením, a v případě potřeby z testů v různých oblastech zájmu.
Na základě tohoto konceptu bude dnes Solvetic analyzovat dva z nejlepších nástrojů pro proces auditu v Linuxu: auditd a ausearch.
Je důležité objasnit, že audit neposkytuje další zabezpečení operačního systému, ale může být použit k odhalení porušení zásad zabezpečení používaných v systému, a proto o nich musí mít odpovídající znalosti.
AuditdAuditd je auditovací systém Linuxu, který při vytváření záznamů v protokolu spoléhá na předkonfigurovaná pravidla a ukládá tak co nejvíce informací o událostech, které se v systému dějí.
Tyto shromážděné informace jsou klíčové pro kritická prostředí mise, aby bylo možné určit narušitele zásad zabezpečení a akce, které provedl, a umožnit tak soustředění všech akcí zabezpečení a nových zásad vytvořených v organizaci na zlepšení celého operačního prostředí.
Auditd je schopen zaznamenávat následující soubory protokolu
- Datum, čas, typ a výsledek události.
- Štítky citlivosti subjektu a objektu.
- Přidružení události k identitě uživatele, který událost provedl.
- Nasaďte všechny úpravy do konfigurace auditu a pokuste se získat přístup k souborům protokolu auditu.
- Uložte všechna použití mechanismů ověřování, jako je SSH, Kerberos a další.
- Je možné přepnout na jakoukoli důvěryhodnou databázi, například / etc / passwd.
- Zaznamenává jakýkoli pokus o import nebo export informací do nebo ze systému.
- Zahrnuje nebo vylučuje události na základě identity uživatele, tagů předmětu a objektu a dalších atributů.
PožadavkyStejným způsobem je použití systému auditu také nezbytným požadavkem pro řadu certifikací souvisejících s bezpečností, pokud je to v určitém okamžiku vyžadováno. Audit je navržen tak, aby splňoval nebo překračoval požadavky následujících celosvětových směrnic nebo certifikací shody:
- Profil ochrany řízeného přístupu (CAPP)
- Označený profil ochrany zabezpečení (LSPP)
- Sada pravidel Základní kontrola přístupu (RSBAC)
- Návod k obsluze Národního programu průmyslové bezpečnosti (NISPOM)
- Federální zákon o řízení bezpečnosti informací (FISMA)
- Průmysl platebních karet - Standard zabezpečení dat (PCI -DSS)
- Příručky technické implementace zabezpečení (STIG)
Další výhodyNěkteré z dalších výhod používání auditovacího systému Linux jsou následující:
- Ke spuštění systému, který jej činí soběstačným, nejsou nutné externí programy ani procesy.
- Je vysoce konfigurovatelný, a proto nám umožňuje vidět jakoukoli operaci systému, který chceme.
- Pomáhá detekovat nebo analyzovat potenciální kompromisy na úrovni zabezpečení systému.
- Je schopen fungovat jako nezávislý detekční systém.
- Může pracovat se systémy detekce narušení, které umožňují detekci narušení.
- Je to zásadní nástroj pro audit forenzního vyšetřování.
Ačkoli se některé pojmy mohou zdát divné, pokud se zavazujeme k zabezpečení, je to nepochybně jedna z nejlepších možností.
1. Součásti auditovaného systému Linux auditd
Systém auditu má dvě základní součásti, kterými jsou:
- Uživatelské aplikace a obslužné programy nebo nástroje
- Zpracování systémových volání na úrovni jádra, které přijímá systémová volání z aplikací v uživatelském prostoru a předává je třemi typy filtrů: uživatel, úkol, ukončení nebo vyloučení.
/var/log/audit/audit.logKromě toho je audispd multiplexer událostí, který interaguje s auditd a odesílá události jiným programům, které chtějí provádět zpracování událostí v reálném čase.
Existuje několik nástrojů uživatelského prostoru pro správu a získávání informací z auditního systému, které jsou:
AuditctlJedná se o nástroj pro ovládání systému auditování jádra.
AusearchJe to nástroj pro vyhledávání v souborech protokolu auditu pro konkrétní události.
AureportJe to nástroj pro vytváření zpráv o zaznamenaných událostech.
Pro tuto analýzu použijeme CentOS 7
2. Nainstalujte a nakonfigurujte auditd na CentOS 7
Prvním krokem je zajistit, aby byl nástroj pro audit nainstalován v systému pomocí příkazu rpm a nástroje grep takto:
otáčky -qa | grep auditVýsledkem bude:
V případě, že nemáme balíčky auditu, musíme jako uživatelé root spustit následující příkaz:
yum nainstalovat auditJakmile je nainstalován, musíme nakonfigurovat, pokud je povolen auditd, za tímto účelem provedeme některý z následujících příkazů v jejich pořadí:
Na CentOS nebo RHEL 7
systemctl je povolen auditdsystemctl stav auditdsystemctl spustit auditd (spustí službu) systemctl povolit auditd (povolí službu)
Na CentOS nebo RHEL 6
služba auditd statusservice auditd start (spustí službu) chkconfig auditd on (povolí službu)
Vidíme, že jeho stav je aktivní.
3. Auditd konfigurace
Ke konfiguraci auditd musíme použít hlavní konfigurační soubor /etc/audit/auditd.conf, protože tam bude možné řídit, jak služba běží, například definovat umístění souboru protokolu, maximální počet souborů protokolu, formát záznamu , jak zacházet s plnými disky, rotací záznamů a dalšími možnostmi.
K tomu použijeme preferovaný editor:
nano /etc/audit/auditd.confTam uvidíme následující:
Vidíme, že každý řádek nám umožňuje určit konkrétní akci, a můžeme ji podle potřeby změnit.
4. Pravidla auditu v Linuxu
Jak bylo uvedeno výše, auditd využívá ke shromažďování konkrétních informací z jádra pravidla. Tato pravidla jsou v podstatě možnosti auditctl, které lze předkonfigurovat v souboru /etc/audit/rules.d/audit.rules.
Lze definovat tři typy pravidel auditu, kterými jsou:
Pravidla ovládáníTy umožňují upravit chování systému auditování a některá jeho nastavení.
Pravidla systému souborůTato pravidla umožňují auditování přístupu ke konkrétnímu souboru nebo adresáři.
Pravidla systémového voláníTy umožňují záznam systémových volání provedených jakýmkoli programem.
Pro přístup k těmto pravidlům přejdeme pomocí požadovaného editoru na následující trasu:
nano /etc/audit/rules.d/audit.rulesUvidíme následující:
Do tohoto souboru musíme v první sekci přidat pravidla ovládání. Následně přidejte pravidla auditu do střední části a nakonec poslední část obsahuje parametry neměnnosti, které jsou zároveň pravidly ovládání.
Některé příklady těchto pravidel jsou:
Odstraňte všechna předchozí pravidla
-D
Definujte velikost vyrovnávací paměti
-b 3074
Selhání generuje možnost paniky
-f 4
Vytvořte maximálně 120 auditních zpráv za sekundu
-r 120
Příklad pravidla je následující:
Máme zde následující:
Slouží k určení souboru nebo adresáře, který se má sledovat.
-w
OprávněníJsou to oprávnění k registraci, r - pro přístup ke čtení, w - pro přístup pro zápis, x - pro přístup ke spuštění a - pro změnu atributu souboru nebo adresáře.
-p
Identifikujte soubor pravidelUmožňuje nastavit volitelný řetězec k identifikaci toho, které pravidlo (nebo sada pravidel) vytvořilo konkrétní položku registru.
-k
Jakmile jsou pravidla definována, použijeme kombinaci kláves Ctrl + O k uložení souboru a Ctrl + X k jeho opuštění. Tato pravidla přidáme, přičemž vezmeme ta z příkladu spuštěním následujících řádků jako root:
auditctl -w / etc / passwd -p wa -k passwd_changesauditctl -w / etc / group -p wa -k group_changesauditctl -w / etc / sudoers -p wa -k sudoers_changesAbychom viděli aktuální pravidla, provedeme následující:
sudo auditctl -l
Tímto způsobem se auditd stane cenným nástrojem auditu v CentOS 7.
5. Ausearch Linux
Nástroj ausearch byl navržen tak, aby umožňoval prohledávání souborů protokolu auditu pro konkrétní události na základě událostí a různých kritérií vyhledávání, jako je identifikátor události, identifikátor klíče, architektura CPU, název příkazu, název hostitele, název skupiny nebo ID skupiny.
Ve výchozím nastavení vypadá ausearch v souboru /var/log/audit/audit.log. Můžete zadat jiný soubor pomocí příkazu ausearch options -if název_souboru. Poskytnutí více možností v příkazu ausearch je ekvivalentní použití operátoru AND.
Chcete -li použít výchozí hodnotu a zobrazit aktuální protokoly, provedeme jeden z následujících příkazů:
kočka /var/log/audit/audit.logcat /var/log/audit/audit.log | méně
Jak vidíme, zde představovaná data mohou být matoucí, a proto ausearch využívá syntaxi ausearch (možnost) k filtrování těchto výsledků a získání vize mnohem snadněji spravovatelné.
Máme možnosti jako:
Zkontrolujte provedení protokolů procesůZde můžeme použít parametr -p plus PID k získání konkrétního výsledku:
ausearch -p 579
Kontrola pokusů o přihlášení v souboru protokolu audituV tomto případě musíme použít parametr -m k identifikaci konkrétních zpráv a -sv k definování úspěšných výsledků.
ausearch -m USER_LOGIN -sv č
Najděte aktivitu uživatele v souboru protokolu AuditdPro tento výsledek použijeme parametr -ua plus uživatelské jméno:
ausearch -ua Solvetic
Najděte úpravy pro uživatele, skupiny a roleDíky této možnosti bude možné zkontrolovat všechny systémové změny používané u uživatelských účtů, skupin a rolí; Můžeme určit několik typů zpráv oddělených čárkami následovně:
ausearch -m ADD_USER, DEL_USER, USER_CHAUTHTOK, ADD_GROUP, DEL_GROUP, CHGRP_ID, ROLE_ASSIGN, ROLE_REMOVE -iUvidíme následující:
Viz nápověda k vyhledáváníAbychom viděli různé možnosti tohoto nástroje, provedeme následující:
člověk hledá
Při provádění kompletního a efektivního auditu v CentOS nebo RedHat tedy můžeme vidět různé možnosti.
