Kaip naudotis „CentOS 7“ audito sistema

Kaip naudotis „CentOS 7“ audito sistema

Kai mūsų vaidmenys ir funkcijos apima visų įmonės infrastruktūros elementų valdymą tinklo ar sistemos lygiu, turime turėti naudingų įrankių, skirtų stebėti, sekti įvykius ir užtikrinti optimalų visų jos komponentų veikimą.

Šiandien mes apžvelgsime kaip įdiegti ir naudoti „Linux“ audito sistemą, įrankis daugeliui nežinomų. Mes žinome, kad yra trečiųjų šalių paslaugų, leidžiančių valdyti įvairius sistemos parametrus, tačiau ši programa viršija tai, ko mums reikia, ir mes peržiūrėsime, kodėl.

Šioje pamokoje mes analizuosime naudingumą aplinkoje „CentOS 7“.

1. Žinokite „Linux“ audito sistemą


Naudodami audito sistemą galime būti atnaujinti dėl esminės saugumo informacijos mūsų sistemoje.

Audito sistema, remdamasi iš anksto nustatytomis taisyklėmis, pateikia mums ataskaitas apie visus sistemoje įvykius; Svarbu patikslinti, kad naudodami audito sistemą „CentOS 7“ nepridedame saugumo, tačiau ji leidžia mums išanalizuoti, kokių trūkumų turi imtis sistema, kad ji imtųsi taisomųjų veiksmų.

Informacija, kurią galima analizuoti

  • Duomenų bazės pakeitimai, pavyzdžiui, kelio pakeitimai / etc / passwd.
  • Audito sistema numato įvykio datą, laiką ir tipą.
  • Bandoma importuoti arba eksportuoti informaciją sistemoje.
  • Vartotojo autentifikavimo mechanizmai.
  • Visi audito pakeitimų pakeitimai ir bandymai pasiekti audito žurnalus, be kita ko.

2. Patikrinkite, ar įdiegta audito sistema


Audito sistemoje turime atsižvelgti į dvi svarbias schemas:

1. Audito sistemos esmė užima visus vartotojo apdorotus įvykius ir siunčia šią informaciją audito demonui.

2. Audito demonas paima šią informaciją ir sukuria įrašus.

Audito sistema tvarko du paketus: auditas Y auditas-libsJie yra įdiegti pagal numatytuosius nustatymus „CentOS 7“, mes galime patikrinti jų įdiegimą naudodami šią komandą: 

 sudo yum sąrašo audito auditas-libs

Jei jų neturime, galime įdiegti audito sistemą naudodami šią komandą: 

 sudo yum diegimo auditas
Kai jie bus įdiegti, turime pamatyti šį tekstą: 
 Įdiegti paketai audit.x86_64 audit-libs.x86_64
Pereikime prie sistemos konfigūracijos.

3. Konfigūruokite audito sistemą „CentOS 7“


Patvirtinę, kad turime reikiamus paketus, pakeisime failo konfigūraciją auditd.conf ir būtent šiame faile turime galimybę konfigūruoti registrus, įvykius ir kitus. Norėdami pasiekti šį failą, naudosime šią komandą: 
 sudo nano /etc/audit/auditd.conf
Bus parodytas toks langas:

Svarbiausi parametrai

  • žurnalų skaičius: Tai leidžia apibrėžti įrenginyje įrašomų žurnalų skaičių.
  • max_log_file: Naudodami šį parametrą galime nustatyti didžiausią žurnalo dydį.
  • tarpo_kairė: Mes galime nustatyti laisvos vietos diske kiekį.
  • disk_full_action: Mes galime apibrėžti tam tikrą veiksmą, kai diskas yra pilnas.

Kaip matome, galime koreguoti įvairius parametrus. Pavyzdžiui, jei norime, kad žurnalų skaičius būtų 12, mes tiesiog ištriname numatytąją vertę (5) ir pridedame norimą (12). Jei norime pakeisti žurnalų dydį į 20, mes tiesiog pakeičiame numatytąją vertę (6) į reikiamą (20).

Pakeitimus išsaugome naudodami derinį Ctrl + O ir išeiname iš redaktoriaus naudodami derinį „Ctrl“ + X. Kai pakeitimai bus apdoroti, turime iš naujo paleisti audito paslaugą naudodami komandą: 

 sudo tarnyba auditd paleiskite iš naujo
PastabaJei norime redaguoti taisyklių parametrus, turime redaguoti failą audit.rules naudodami šią komandą: 
 /etc/audit/rules.d/audit.rules

4. Supraskite „CentOS 7“ sistemos audito žurnalus


Pagal numatytuosius nustatymus audito sistema saugo visus įvykius, įvykusius „CentOS“ kelyje /var/log/audit/audit.log ir šiuose failuose yra daug informacijos ir kodo, kuriuos daugeliui iš mūsų gali būti ne taip paprasta suprasti, tačiau „Solvetic“ rūpinasi šiek tiek apibendrinti šiuos failus.

Norėdami parodyti, kaip veikia audito sistema, sukūrėme taisyklę sshconfigchange ir ją galima sukurti naudojant šią komandą: 

 sudo auditctl -w / etc / ssh / sshd_config -p rwxa -k sshconfigchange
Norėdami pamatyti taisyklę, naudojame šią sintaksę: 
 sudo katė / etc / ssh / sshd_config

Dabar pamatysime sistemos audito įrankio sukurtą žurnalą įvesdami: 

 sudo nano /var/log/audit/audit.log

Mes pasikliausime trimis (3) svarbiais įrašais:

  • SYSCALL
  • CWD
  • PATH

Šie failai sudaryti taip:

  • Raktažodis: Nurodo proceso pavadinimą (PATH, CWD ir kt.)
  • Laiko žyma: Nurodo datą ir laiką (1469708505.235)
  • Eik: Susideda iš atitinkamo įvykio ID (153)

SYSCALL renginys
SYSCALL reiškia pranešimą, kurį generuoja branduolio iškvietimas iš audito sistemos, msg laukas = auditas (1469708505.235:153):

Viduje laiko žymę ir ID lauką matome, kad šių trijų įrašų vertė yra ta pati (1469708505.235: 153), o tai rodo, kad šie trys įrašai buvo saugomi su tuo pačiu audito įvykiu.

The arkos laukas nurodo mašinos architektūrą, šiuo atveju 40000003 rodo, kad tai yra i386, jei tai būtų vertė c000003e, tai reikštų x86_64 mašiną.

The „Syscall“ laukas jame nurodomas skambučio tipas, kuris buvo išsiųstas į sistemą. Vertė gali skirtis, šiuo atveju ji yra 5. Norėdami pamatyti paslaugos būseną (atidaryti), galime naudoti komandą sudo ausyscall 5.

Yra daugiau nei 300 reikšmių, jei norime pamatyti, ką apskritai reiškia reikšmės, galime naudoti komandą: 

 sudo ausyscall -dump
Pamatysime visas vertybes ir jų reikšmę:

The Sėkmės laukas Tai mums nurodo, ar įvykio skambutis buvo sėkmingas, ar ne, taip ar ne. Mes galime rasti SYSCALL įvykį ir slinkti į kairę, kad pamatytume kitas įtrauktas ataskaitas.

The uid laukas reiškia vartotoją, kuris pradėjo audito paslaugą, šiuo atveju tai yra uid = 0.

The comm laukas tai reiškia komandą, kuri buvo naudojama pranešimui rodyti, todėl matome, kad ji rodoma kaip comm = "cat".

The exe laukas Tai nurodo kelią į komandą, kuri sugeneravo audito įvykį, šiame pavyzdyje matome, kad tai yra exe = " / usr / bin / cat".

CWD renginys
CWD įvykyje galime pastebėti, kad nėra tos pačios informacijos kaip SYSCALL, čia yra katalogas, naudojamas įvykiams išsaugoti, CWD- Current Working Directory, taigi matome reikšmę cwd = ” / home / solvetic”.

PATH renginys
Paskutiniame renginyje, PATH, matome, kad vardo laukas kuris nurodo failą ar katalogą, kuris buvo naudojamas kuriant auditą, šiuo atveju matome: name = " / etc / ssh / sshd_config".

5. Ieškokite konkrečių įvykių audito įvykiuose


Vienas iš įdomiausių būdų, kaip ieškoti įvykio „CentOS 7“, yra sintaksės naudojimas: 
 sudo ausearch -m Įvykio_pavadinimas -pradėkite šiandien -i
Ši komanda leidžia mums filtruoti tam tikrą įvykį ir nereikia ieškoti viso įvykio failo, nes jis yra platus. Tokiu atveju ieškosime visų su prisijungimu susijusių įvykių, todėl įvesime: 
 sudo ausearch -m LOGIN -pradėkite šiandien -i
Gautas rezultatas bus toks:

Taip pat galima filtruoti paiešką pagal įvykio ID, todėl naudosime šią sintaksę: 

 sudo ausearch -a Event_ID
Toliau pamatysime, kaip generuoti ataskaitas.

6. Generuoti audito ataskaitas


Vienas iš būdų, kaip geriau valdyti įvykius, yra išsami ataskaita apie tai, kas vyksta sistemoje „CentOS 7“, ir naudodami audito sistemą galime sukurti paprastas ir aiškiai suprantamas ataskaitas, kurios padėtų mums valdyti. Tam naudosime komandą: 
 sudo aureport -x -santrauka
Ir pamatysime gautą rezultatą:

Pirmasis stulpelis, kurį matome, nurodo, kiek kartų komanda buvo įvykdyta, o antrasis stulpelis nurodo, kuri komanda buvo įvykdyta. Panašiai galime sukurti ataskaitą su nesėkmingais įvykiais naudodami komandą: 

 sudo aureport -nepavyko

Jei norime sukurti ataskaitą su vartotojų vardais ir sistemos skambučiais, naudosime komandą: 

 sudo aureport -f -i

7. Kaip individualiai analizuoti procesus


Gali būti, kad kartais turime analizuoti procesus atskirai, o ne visą katalogą, tam naudosime autrace, šis įrankis leidžia stebėti sistemos skambučius į tam tikrą procesą. „Autrace“ rezultatai saugomi kelyje: 
 /var/log/audit/audit.log
Pavyzdžiui išanalizuosime kelią / šiukšliadėžę / datą, tam naudosime šiuos dalykus: 
 sudo autrace / bin / date

Matome, kad įvykis su ID 16541. Sukurtas. Dabar mes įvedame šią komandą, kad pamatytume įvykio santrauką: 

 udo ausearch -p 16541 --raw | aureport -f -i

Tokiu būdu galime atskirai analizuoti failus. Šioje nuorodoje matome visų tipų įrašus, kuriuos gali patikrinti CentOS 7 audito sistema.

Taip matome, kaip „CentOS 7“ audito sistema gali padėti mums valdyti ir prižiūrėti įvykius, vykstančius mūsų kompiuteriuose, ir taip užtikrinti, kad turime saugią, stabilią ir optimalią sistemą.

Galiausiai paliekame jums nemokamo „WinAudit“ įrankio pamoką, skirtą atlikti „Windows“ auditą:

Auditas naudojant „WinAudit“

Padėsite svetainės plėtrą, dalintis puslapį su draugais

wave wave wave wave wave

Populiarios Temos

wave
1
post-title
▷ Pervardykite „Windows Server“ domeną ✔️
2
post-title
Pagrindinis ir antrinis „Wordpress“ meniu
3
post-title
▷ ŽIŪRĖTI ŽYMĖTAS NUOTRAUKAS kito asmens „Instagram“
4
post-title
Langų valdymas planšetiniams kompiuteriams „Windows 8“
5
post-title
Nuotoliniu būdu valdykite kompiuterį naudodami bet kurią „Chrome“ naršyklę

Rekomenduojama

wave
- Sponsored Ad -

Redaktoriaus Pasirinkimas

wave
- Sponsored Ad -