Что такое Auditd?

Auditd - это компонент пользовательского пространства системы аудита Linux. Auditd - это сокращение от Linux Audit Daemon. В Linux демон называется службой, работающей в фоновом режиме, и в конце службы приложения прикреплена буква d, поскольку она работает в фоновом режиме. Задача auditd - собирать и записывать файлы журнала аудита на диск в качестве фоновой службы

Зачем использовать Auditd?

Эта служба Linux предоставляет пользователю аспект аудита безопасности в Linux. Журналы, которые собираются и сохраняются с помощью auditd, представляют собой различные действия, выполняемые пользователем в среде Linux, и если есть случай, когда какой-либо пользователь хочет узнать, что другие пользователи делали в корпоративной или многопользовательской среде, этот пользователь может получить доступ к такой информации в упрощенной и минимизированной форме, известной как журналы. Кроме того, если в системе пользователя произошла необычная активность, скажем, его система была взломана, тогда пользователь может отследить и увидеть, как его система была взломана, и это также может помочь во многих случаях при реагировании на инциденты.

Основы аудита

Пользователь может искать в сохраненных журналах по аудит с использованием ausearch а также Aureport коммунальные услуги. Правила аудита находятся в каталоге, / etc / audit / audit.правила что может быть прочитано auditctl на старте. Кроме того, эти правила также можно изменить с помощью auditctl. Файл конфигурации auditd доступен по адресу / etc / audit / auditd.conf.

Монтаж

В дистрибутивах Linux на основе debian для установки auditd можно использовать следующую команду, если она еще не установлена:

[электронная почта защищена]: ~ $ sudo apt-get install auditd audispd-plugins

Базовая команда для auditd:

Для запуска auditd:

$ service auditd start

Для остановки auditd:

$ service auditd stop

Для перезапуска auditd:

$ service auditd перезапуск

Для получения статуса auditd:

$ service auditd status

Для условного перезапуска auditd:

$ service auditd condrestart

Для перезагрузки сервиса auditd:

$ service auditd перезагрузка

Для ротации журналов аудита:

$ service auditd повернуть

Для проверки вывода конфигураций auditd:

$ chkconfig --list auditd

Какую информацию можно записывать в журналы?

• Отметка времени и информация о событии, такая как тип и результат события.
• Событие инициировано вместе с пользователем, который его инициировал.
• Изменения в файлах конфигурации аудита.
• Попытки доступа к файлам журнала аудита.
• Все события аутентификации с аутентифицированными пользователями, такие как ssh и т. Д.
• Изменения в конфиденциальных файлах или базах данных, таких как пароли в / etc / passwd.
• Входящая и исходящая информация из системы и в систему.

Другие утилиты, связанные с аудитом:

Некоторые другие важные утилиты, относящиеся к аудиту, приведены ниже. Мы подробно остановимся только на некоторых из них, которые обычно используются.

auditctl:

Эта утилита используется для получения статуса поведения аудита, установки, изменения или обновления конфигураций аудита. Синтаксис для использования auditctl:

auditctl [параметры]

Ниже приведены наиболее часто используемые параметры или флаг:

-ш

Чтобы добавить наблюдение к файлу, это означает, что аудит будет следить за этим файлом и добавлять действия пользователя, связанные с этим файлом, в журналы.

-k

Чтобы ввести ключ или имя фильтра в указанную конфигурацию.

-п

Чтобы добавить фильтр на основе разрешений файлов.

-S

Чтобы подавить запись журнала для конфигурации.

-а

Чтобы получить все результаты для указанного ввода этой опции.

Например, чтобы добавить наблюдение за файлом / etc / shadow с отфильтрованным ключевым словом 'shadow-key' и с разрешениями как 'rwxa':

$ auditctl -w / etc / shadow -k shadow-file -p rwxa

aureport:

Эта утилита используется для создания сводных отчетов журнала аудита из записанных журналов. Входными данными отчета также могут быть необработанные данные журналов, которые передаются в aureport с использованием stdin. Базовый синтаксис для использования aureport:

aureport [параметры]

Вот некоторые из основных и наиболее часто используемых опций aureport:

-k

Для создания отчета на основе ключей, указанных в правилах или конфигурациях аудита.

-я

Для отображения текстовой информации, а не числовой информации, такой как идентификатор, например, отображение имени пользователя вместо идентификатора пользователя.

-au

Сгенерировать отчет о попытках аутентификации для всех пользователей.

-л

Для создания отчета, отображающего данные для входа пользователей.

поиск:

Эта утилита предназначена для поиска журналов аудита или событий. В ответ отображаются результаты поиска, основанные на различных поисковых запросах. Как и в случае с aureport, эти поисковые запросы также могут быть необработанными данными журналов, которые передаются в ausearch с помощью stdin. По умолчанию ausearch запрашивает журналы, размещенные в / вар / журнал / аудит / аудит.бревно, которые можно напрямую отобразить или получить к ним при вводе команды, как показано ниже:

$ cat / var / log / audit / audit.бревно

Простой синтаксис использования ausearch:

ausearch [параметры]

Кроме того, есть определенные флаги, которые можно использовать с командой ausearch, некоторые из наиболее часто используемых флагов:

-п

Этот флаг используется для ввода идентификаторов процессов для поисковых запросов журналов, e.грамм., ausearch -p 6171.

-м

Этот флаг используется для поиска определенных строк в файлах журнала, e.грамм., ausearch -m USER_LOGIN.

-св

Этот параметр является значениями успеха, если пользователь запрашивает значение успеха для определенной части журналов. Этот флаг часто используется с флагом -m, например ausearch -m USER_LOGIN -sv нет.

-ua

Эта опция используется для ввода фильтра имени пользователя для поискового запроса, e.грамм., ausearch -ua корень.

-ts

Эта опция используется для ввода фильтра отметок времени для поискового запроса, e.грамм., ausearch -ts вчера.

auditspd:

Эта утилита используется как демон для мультиплексирования событий.

autrace:

Эта утилита используется для отслеживания двоичных файлов с помощью компонентов аудита.

ауласт:

Эта утилита показывает последние действия, записанные в журналах.

ауластлог:

Эта утилита показывает последнюю информацию для входа в систему всех пользователей или данного пользователя.

ausyscall:

Эта утилита позволяет отображать имена и номера системных вызовов.

Auvirt:

Эта утилита показывает информацию аудита специально для виртуальных машин.

Заключение

Хотя Linux Auditing - относительно продвинутая тема для нетехнических пользователей Linux, но предоставление пользователям возможности решать самим, это то, что предлагает Linux. В отличие от других операционных систем, операционные системы Linux, как правило, позволяют пользователям контролировать собственную среду. Также будучи новичком или нетехническим пользователем, нужно всегда учиться для собственного роста. Надеюсь, эта статья помогла вам узнать что-то новое и полезное.