Kai mūsų vaidmenys ir funkcijos apima visų įmonės infrastruktūros elementų valdymą tinklo ar sistemos lygiu, turime turėti naudingų įrankių, skirtų stebėti, sekti įvykius ir užtikrinti optimalų visų jos komponentų veikimą.
Šiandien mes apžvelgsime kaip įdiegti ir naudoti „Linux“ audito sistemą, įrankis daugeliui nežinomų. Mes žinome, kad yra trečiųjų šalių paslaugų, leidžiančių valdyti įvairius sistemos parametrus, tačiau ši programa viršija tai, ko mums reikia, ir mes peržiūrėsime, kodėl.
Šioje pamokoje mes analizuosime naudingumą aplinkoje „CentOS 7“.
1. Žinokite „Linux“ audito sistemą
Naudodami audito sistemą galime būti atnaujinti dėl esminės saugumo informacijos mūsų sistemoje.
Audito sistema, remdamasi iš anksto nustatytomis taisyklėmis, pateikia mums ataskaitas apie visus sistemoje įvykius; Svarbu patikslinti, kad naudodami audito sistemą „CentOS 7“ nepridedame saugumo, tačiau ji leidžia mums išanalizuoti, kokių trūkumų turi imtis sistema, kad ji imtųsi taisomųjų veiksmų.
Informacija, kurią galima analizuoti
- Duomenų bazės pakeitimai, pavyzdžiui, kelio pakeitimai / etc / passwd.
- Audito sistema numato įvykio datą, laiką ir tipą.
- Bandoma importuoti arba eksportuoti informaciją sistemoje.
- Vartotojo autentifikavimo mechanizmai.
- Visi audito pakeitimų pakeitimai ir bandymai pasiekti audito žurnalus, be kita ko.
2. Patikrinkite, ar įdiegta audito sistema
Audito sistemoje turime atsižvelgti į dvi svarbias schemas:
1. Audito sistemos esmė užima visus vartotojo apdorotus įvykius ir siunčia šią informaciją audito demonui.
2. Audito demonas paima šią informaciją ir sukuria įrašus.
Audito sistema tvarko du paketus: auditas Y auditas-libsJie yra įdiegti pagal numatytuosius nustatymus „CentOS 7“, mes galime patikrinti jų įdiegimą naudodami šią komandą:
sudo yum sąrašo audito auditas-libs
Jei jų neturime, galime įdiegti audito sistemą naudodami šią komandą:
sudo yum diegimo auditasKai jie bus įdiegti, turime pamatyti šį tekstą:
Įdiegti paketai audit.x86_64 audit-libs.x86_64Pereikime prie sistemos konfigūracijos.
3. Konfigūruokite audito sistemą „CentOS 7“
Patvirtinę, kad turime reikiamus paketus, pakeisime failo konfigūraciją auditd.conf ir būtent šiame faile turime galimybę konfigūruoti registrus, įvykius ir kitus. Norėdami pasiekti šį failą, naudosime šią komandą:
sudo nano /etc/audit/auditd.confBus parodytas toks langas:
Svarbiausi parametrai
- žurnalų skaičius: Tai leidžia apibrėžti įrenginyje įrašomų žurnalų skaičių.
- max_log_file: Naudodami šį parametrą galime nustatyti didžiausią žurnalo dydį.
- tarpo_kairė: Mes galime nustatyti laisvos vietos diske kiekį.
- disk_full_action: Mes galime apibrėžti tam tikrą veiksmą, kai diskas yra pilnas.
Kaip matome, galime koreguoti įvairius parametrus. Pavyzdžiui, jei norime, kad žurnalų skaičius būtų 12, mes tiesiog ištriname numatytąją vertę (5) ir pridedame norimą (12). Jei norime pakeisti žurnalų dydį į 20, mes tiesiog pakeičiame numatytąją vertę (6) į reikiamą (20).
Pakeitimus išsaugome naudodami derinį Ctrl + O ir išeiname iš redaktoriaus naudodami derinį „Ctrl“ + X. Kai pakeitimai bus apdoroti, turime iš naujo paleisti audito paslaugą naudodami komandą:
sudo tarnyba auditd paleiskite iš naujoPastabaJei norime redaguoti taisyklių parametrus, turime redaguoti failą audit.rules naudodami šią komandą:
/etc/audit/rules.d/audit.rules
4. Supraskite „CentOS 7“ sistemos audito žurnalus
Pagal numatytuosius nustatymus audito sistema saugo visus įvykius, įvykusius „CentOS“ kelyje /var/log/audit/audit.log ir šiuose failuose yra daug informacijos ir kodo, kuriuos daugeliui iš mūsų gali būti ne taip paprasta suprasti, tačiau „Solvetic“ rūpinasi šiek tiek apibendrinti šiuos failus.
Norėdami parodyti, kaip veikia audito sistema, sukūrėme taisyklę sshconfigchange ir ją galima sukurti naudojant šią komandą:
sudo auditctl -w / etc / ssh / sshd_config -p rwxa -k sshconfigchangeNorėdami pamatyti taisyklę, naudojame šią sintaksę:
sudo katė / etc / ssh / sshd_config
Dabar pamatysime sistemos audito įrankio sukurtą žurnalą įvesdami:
sudo nano /var/log/audit/audit.log
Mes pasikliausime trimis (3) svarbiais įrašais:
- SYSCALL
- CWD
- PATH
Šie failai sudaryti taip:
- Raktažodis: Nurodo proceso pavadinimą (PATH, CWD ir kt.)
- Laiko žyma: Nurodo datą ir laiką (1469708505.235)
- Eik: Susideda iš atitinkamo įvykio ID (153)
SYSCALL renginys
SYSCALL reiškia pranešimą, kurį generuoja branduolio iškvietimas iš audito sistemos, msg laukas = auditas (1469708505.235:153):
Viduje laiko žymę ir ID lauką matome, kad šių trijų įrašų vertė yra ta pati (1469708505.235: 153), o tai rodo, kad šie trys įrašai buvo saugomi su tuo pačiu audito įvykiu.
The arkos laukas nurodo mašinos architektūrą, šiuo atveju 40000003 rodo, kad tai yra i386, jei tai būtų vertė c000003e, tai reikštų x86_64 mašiną.
The „Syscall“ laukas jame nurodomas skambučio tipas, kuris buvo išsiųstas į sistemą. Vertė gali skirtis, šiuo atveju ji yra 5. Norėdami pamatyti paslaugos būseną (atidaryti), galime naudoti komandą sudo ausyscall 5.
Yra daugiau nei 300 reikšmių, jei norime pamatyti, ką apskritai reiškia reikšmės, galime naudoti komandą:
sudo ausyscall -dumpPamatysime visas vertybes ir jų reikšmę:
The Sėkmės laukas Tai mums nurodo, ar įvykio skambutis buvo sėkmingas, ar ne, taip ar ne. Mes galime rasti SYSCALL įvykį ir slinkti į kairę, kad pamatytume kitas įtrauktas ataskaitas.
The uid laukas reiškia vartotoją, kuris pradėjo audito paslaugą, šiuo atveju tai yra uid = 0.
The comm laukas tai reiškia komandą, kuri buvo naudojama pranešimui rodyti, todėl matome, kad ji rodoma kaip comm = "cat".
The exe laukas Tai nurodo kelią į komandą, kuri sugeneravo audito įvykį, šiame pavyzdyje matome, kad tai yra exe = " / usr / bin / cat".
CWD renginys
CWD įvykyje galime pastebėti, kad nėra tos pačios informacijos kaip SYSCALL, čia yra katalogas, naudojamas įvykiams išsaugoti, CWD- Current Working Directory, taigi matome reikšmę cwd = ” / home / solvetic”.
PATH renginys
Paskutiniame renginyje, PATH, matome, kad vardo laukas kuris nurodo failą ar katalogą, kuris buvo naudojamas kuriant auditą, šiuo atveju matome: name = " / etc / ssh / sshd_config".
5. Ieškokite konkrečių įvykių audito įvykiuose
Vienas iš įdomiausių būdų, kaip ieškoti įvykio „CentOS 7“, yra sintaksės naudojimas:
sudo ausearch -m Įvykio_pavadinimas -pradėkite šiandien -iŠi komanda leidžia mums filtruoti tam tikrą įvykį ir nereikia ieškoti viso įvykio failo, nes jis yra platus. Tokiu atveju ieškosime visų su prisijungimu susijusių įvykių, todėl įvesime:
sudo ausearch -m LOGIN -pradėkite šiandien -iGautas rezultatas bus toks:
Taip pat galima filtruoti paiešką pagal įvykio ID, todėl naudosime šią sintaksę:
sudo ausearch -a Event_IDToliau pamatysime, kaip generuoti ataskaitas.
6. Generuoti audito ataskaitas
Vienas iš būdų, kaip geriau valdyti įvykius, yra išsami ataskaita apie tai, kas vyksta sistemoje „CentOS 7“, ir naudodami audito sistemą galime sukurti paprastas ir aiškiai suprantamas ataskaitas, kurios padėtų mums valdyti. Tam naudosime komandą:
sudo aureport -x -santraukaIr pamatysime gautą rezultatą:
Pirmasis stulpelis, kurį matome, nurodo, kiek kartų komanda buvo įvykdyta, o antrasis stulpelis nurodo, kuri komanda buvo įvykdyta. Panašiai galime sukurti ataskaitą su nesėkmingais įvykiais naudodami komandą:
sudo aureport -nepavyko
Jei norime sukurti ataskaitą su vartotojų vardais ir sistemos skambučiais, naudosime komandą:
sudo aureport -f -i
7. Kaip individualiai analizuoti procesus
Gali būti, kad kartais turime analizuoti procesus atskirai, o ne visą katalogą, tam naudosime autrace, šis įrankis leidžia stebėti sistemos skambučius į tam tikrą procesą. „Autrace“ rezultatai saugomi kelyje:
/var/log/audit/audit.logPavyzdžiui išanalizuosime kelią / šiukšliadėžę / datą, tam naudosime šiuos dalykus:
sudo autrace / bin / date
Matome, kad įvykis su ID 16541. Sukurtas. Dabar mes įvedame šią komandą, kad pamatytume įvykio santrauką:
udo ausearch -p 16541 --raw | aureport -f -i
Tokiu būdu galime atskirai analizuoti failus. Šioje nuorodoje matome visų tipų įrašus, kuriuos gali patikrinti CentOS 7 audito sistema.
Taip matome, kaip „CentOS 7“ audito sistema gali padėti mums valdyti ir prižiūrėti įvykius, vykstančius mūsų kompiuteriuose, ir taip užtikrinti, kad turime saugią, stabilią ir optimalią sistemą.
Galiausiai paliekame jums nemokamo „WinAudit“ įrankio pamoką, skirtą atlikti „Windows“ auditą:
Auditas naudojant „WinAudit“