- 1. Vytvořte zprávu o klíčích aureportu pravidla auditu
- 2. Vytvořte zprávu o pokusech o autentizaci v systému aureport
- 3. Generujte zprávy přidružené k přihlášení do aureportu
- 4. Vygenerujte zprávu o neúspěšných událostech v systému aureport
- 5. Vygenerujte zprávu za určené časové období aureport
- 6. Generujte zprávy pomocí jiného souboru protokolu aureport
Neustálé monitorování našich serverů zaručuje jejich integritu a funkčnost za všech okolností, zvláště pokud jde o servery v produktivním prostředí. Pravidelné provádění bezpečnostních auditů v systému nám zaručuje, že budeme aktuální a o krok napřed tváří v tvář možným hrozbám a zranitelnostem, které systém může mít.
Audity by měly být v oblasti IT brány jako častý úkol, aby se v budoucnosti předešlo mnohem radikálnějším akcím, které ovlivňují uživatelské role, služby nebo prvky.
Nyní společnost Solvetic ukáže, jak můžeme generovat zprávy o auditu, které jsou životně důležité pro schůzky vedení, podpory nebo protokoly událostí, ke kterým dochází na serveru, v tomto případě mluvíme o CentOS 7.
Co je aureportNástroj aureport byl navržen tak, aby nám umožnil generovat konkrétní a důležité zprávy o událostech zaznamenaných v souborech protokolu auditu.
Ve výchozím nastavení jsou pro vytvoření sestavy dotazovány všechny soubory audit.log uložené v adresáři / var / log / audit /. Ve zprávě bude možné určit jiný soubor, proti kterému se má sestava spustit, pomocí příkazu aureport -if název_souboru.
Aureport nám nabízí různé alternativy pro jeho použití a každá nám dá jiný výsledek, tyto možnosti jsou následující.
1. Vytvořte zprávu o klíčích aureportu pravidla auditu
Pokud použijeme parametr -k, aureport vytvoří zprávu o všech klíčích definovaných v pravidlech auditu.
Jeho provedení je:
aureport -kJeho výsledek je následující:
Zde můžeme vidět podrobné informace udávající datum, čas a událost, ke které došlo. Je možné povolit interpretaci číselných entit v textu (například převod UID na název účtu) pomocí volby -i:
aureport -k -i
2. Vytvořte zprávu o pokusech o autentizaci v systému aureport
Je možné, že z bezpečnostních a kontrolních důvodů potřebujeme zprávu o všech událostech souvisejících s pokusy o autentizaci všech uživatelů v CentOS 7, k tomu použijeme parametr -au.
aureport -au aureport -au -iVýsledkem bude následující:
3. Generujte zprávy přidružené k přihlášení do aureportu
Díky parametru -l bude možné aureportu sdělit, aby generoval zprávu o všech přihlášeních v CentOS 7.
Provedeme následující:
aureport -lZískaný výsledek bude následující:
Detailně vidíme datum a čas přihlášení.
4. Vygenerujte zprávu o neúspěšných událostech v systému aureport
Pokud chceme získat zprávu o událostech s chybou v CentOS 7, což je praktické podrobně vědět, jaká událost a kdy byla generována, můžeme provést následující:
aureport -se nezdařilo
Můžeme vidět kategorie událostí s příslušnou částkou.
5. Vygenerujte zprávu za určené časové období aureport
S aureportem je možné generovat zprávy za konkrétní časové období; Parametr -ts definuje počáteční datum a čas a hodnota -te určuje datum a čas ukončení.
Kromě toho je možné místo formátů v reálném čase používat slova jako nyní, nedávné, dnes, včera, tento týden, tento týden, tento měsíc, tento rok.
Můžeme provozovat linky jako:
aureport -ts 20/09/2017 08:00:00 -te now --summary -i aureport -ts today -te now --summary -i
6. Generujte zprávy pomocí jiného souboru protokolu aureport
Je možné vytvořit sestavu pomocí jiného souboru než výchozí soubory protokolu v adresáři / var / log / audit, k tomu musíme použít parametr -if, abychom na soubor odkazovali:
aureport -l -if /var/log/solvetic/hosts/node3.logDalší užitečné parametry pro použití s aureport jsou:
Zprávy o pokusech o ověření
-au, --auth
Report on avc messages
-a, --avc
Nahlásit změny konfigurace
-c, --config
Reportujte o událostech s kryptoměnami
-cr, --crypto
Zpráva o událostech
-e, --událost
Zpráva o souborech
-f, --soubor
Vyberte neúspěšné události, které chcete zpracovat v sestavách
-se nezdařilo
Zprávy o hostitelích
-h, --hostitel
Vytiskne souhrn příkazu, který má být proveden
--Pomoc
Interpretujte číselné entity v textuNapříklad uid se stane názvem účtu. Převod se provádí pomocí aktuálních prostředků stroje, na kterém běží vyhledávání
-i, -interpretovat.
Využívá uvedený souborTo pomáhá analýze, pokud byly záznamy přesunuty na jiný počítač nebo byla uložena pouze část záznamu.
-if, --vstupní soubor
Používá umístění souboru protokolu auditd.conf jako vstup pro analýzuTo je nutné, pokud používáte aureport z úlohy cron.
--vstupní protokoly
Zprávy o klíčích pravidel auditu
-k, -klíč
Zprávy o přihlášení
-l, --login
Zpráva o úpravách účtu
-m, --mods
Zprávy o událostech povinného řízení přístupu (MAC)
-ma, --mac
Zprávy o anomáliíchMezi tyto události patří NIC, které procházejí promiskuitními a segfaultujícími programy.
-n, --anomálie
Umožňuje vybrat události pocházející z řetězce názvů uzlů, které se mají zpracovat v sestaváchVýchozí je zahrnout všechny uzly. Je povoleno více uzlů.
--node název-uzlu
Zpráva o aktuálních procesech
-p, --pid
Zprávy o reakcích na události selhání
-r, -odpověď
Reportáž o syscallech
-s, --syscall
Vyberte pouze úspěšné události pro zpracování v sestaváchVýchozí nastavení je úspěšné.
--úspěch
Spustí souhrnnou zprávu, která poskytuje součet položek hlavní sestavy
-shrnuje
Tato možnost zobrazí zprávu o časech začátku a konce každého záznamu.
-t, --log
Hledá události s časovými razítky stejnými nebo staršími než daný čas ukončení.Formát času ukončení závisí na vašem národním prostředí. Pokud je datum vynecháno, předpokládá se dnešek. Pokud je čas vynechán, nyní se předpokládá. K určení času můžeme použít 24hodinový formát namísto AM nebo PM. Pamatujte, že je možné použít slova jako: teď, nedávno, dnes, včera, tento týden, týden, tento měsíc, letos. Dnešek znamená začít hned. Nedávné je před 10 minutami. Včera je 1 sekundu po půlnoci předchozího dne. Tento týden znamená začátek 1 sekundu po půlnoci v 0. den v týdnu určený vaší polohou (viz místní čas). Tento měsíc znamená 1 sekundu po půlnoci 1. v měsíci. Letos to znamená 1 sekundu po půlnoci prvního dne prvního měsíce.
-te, --end [end-date] [end-time]
Informuje o terminálech
-tm, -koncovka
Hledá události s časovým razítkem rovným nebo pozdějším než je daný čas ukončeníFormát času ukončení závisí na vašem národním prostředí. Pokud je datum vynecháno, předpokládá se dnešek. Pokud je čas vynechán, předpokládá se půlnoc. K určení času můžeme použít 24hodinový formát namísto AM nebo PM.
-ts, --start [datum zahájení] [start]
Informovat o uživatelích
-u, -uživatel
Vytiskněte si verzi a ukončete obslužný program
-v, --verze
Zpráva o spustitelných souborech
-x, -spustitelný
Nakonec, abychom získali obecnou pomoc s tímto nástrojem, můžeme spustit man aureport. Tímto způsobem vidíme, jak nám tento nástroj umožňuje generovat podrobné zprávy o všech problémech s auditem v prostředích Linuxu, v tomto případě CentOS 7, a tak provádět mnohem komplexnější správu událostí serveru.