Kaip patikrinti „Linux“ naudojant „Auditd Tool“ ir „Ausearch“

Būdama sistemos administratoriais, palaikymo grupės personalu arba tiesiog siekdama išlaikyti geriausią serverio ir organizacijos kompiuterių valdymo lygį, ji nuolat tikrina operacinę sistemą, kad būtų vienu žingsniu priekyje galimų nesėkmių ir taip išsaugoti sistemos vientisumą ir prieinamumą, taip pat jos vaidmenis, paslaugas ir joje saugomus elementus.

Kas yra „Linux“ auditas?Kai mes kalbame apie audito sistemą „Linux“ aplinkoje, mes kalbame apie mechanizmą, kuris suteikia galimybę sekti informaciją, susijusią su minėtos operacinės sistemos saugumu.

Auditas susideda iš įvairių dalių, sudarančių konkrečią sistemą, patikrinimo, atliekant kritinį vertinimą ir prireikus atliekant bandymus skirtingose ​​interesų srityse.

Remdamasis šia koncepcija, šiandien „Solvetic“ analizuos du geriausius audito proceso įrankius „Linux“: auditd ir ausearch.

Svarbu patikslinti, kad auditas nesuteikia papildomo saugumo operacinei sistemai, tačiau gali būti naudojamas nustatant sistemoje naudojamų saugumo politikos pažeidimus ir todėl tinkamai apie tai žinant.

Audituota„Auditd“ yra „Linux“ audito sistema, kuri remiasi iš anksto sukonfigūruotomis taisyklėmis, kad sugeneruotų žurnalo įrašus ir taip išsaugotų kuo daugiau informacijos apie sistemoje vykstančius įvykius.

Ši surinkta informacija yra labai svarbi misijai svarbioje aplinkoje, siekiant nustatyti saugumo politikos pažeidėją ir veiksmus, kurių jie ėmėsi, ir taip leisti visus saugumo veiksmus ir naują organizacijoje sukurtą politiką sutelkti į visos veiklos aplinkos gerinimą.

„Auditd“ gali įrašyti šiuos žurnalo failus

• Įvykio data, laikas, tipas ir rezultatas.

• Temos ir objekto jautrumo etiketės.

• Įvykio susiejimas su įvykį įvykdžiusio vartotojo tapatybe.

• Įdiekite visus audito konfigūracijos pakeitimus ir pabandykite pasiekti audito žurnalo failus.

• Saugokite visus autentifikavimo mechanizmų, pvz., SSH, Kerberos ir kitų, naudojimo būdus.

• Galima pereiti prie bet kurios patikimos duomenų bazės, pvz., / Etc / passwd.

• Įrašo visus bandymus importuoti arba eksportuoti informaciją į sistemą arba iš jos.

• Įtraukia arba neįtraukia įvykių pagal vartotojo tapatybę, temos ir objekto žymas bei kitus atributus.

ReikalavimaiLygiai taip pat audito sistemos naudojimas taip pat yra būtinas reikalavimas, kai serijoms, susijusių su sauga, taikoma tam tikra akimirka. Auditas sukurtas taip, kad atitiktų arba viršytų šių pasaulinių atitikties gairių ar sertifikatų reikalavimus:

• Kontroliuojamas prieigos apsaugos profilis (CAPP)

• Pažymėtas saugos apsaugos profilis (LSPP)

• Taisyklių bazės prieigos valdymas (RSBAC)

• Nacionalinės pramonės saugumo programos naudojimo vadovas (NISPOM)

• Federalinis informacijos saugumo valdymo įstatymas (FISMA)

• Mokėjimo kortelių pramonė - duomenų saugumo standartas (PCI -DSS)

• Saugos techninio diegimo vadovai (STIG)

Papildomos naudosKai kurie papildomi „Linux“ audito sistemos naudojimo pranašumai yra šie:

• Tam nereikia išorinių programų ar procesų paleisti sistemoje, kuri daro ją savarankišką.

• Jis yra labai konfigūruojamas, todėl leidžia mums pamatyti bet kokią norimą sistemos veikimą.

• Tai padeda aptikti arba išanalizuoti galimus sistemos saugumo kompromisus.

• Jis gali veikti kaip nepriklausoma aptikimo sistema.

• Jis gali dirbti su įsilaužimo aptikimo sistemomis, kad būtų galima aptikti įsilaužimą.

• Tai labai svarbi teismo tyrimo audito priemonė.

Nors kai kurios sąlygos gali atrodyti keistos, jei esame pasiryžę saugumui, tai neabejotinai yra vienas geriausių variantų.

1. „Linux“ audito audito sistemos komponentai

Audito sistemą sudaro du pagrindiniai komponentai:

• Vartotojo programos ir komunalinės paslaugos ar įrankiai

• Branduolio lygio sistemos skambučių apdorojimas, kuris priima sistemos skambučius iš vartotojo erdvės programų ir perduoda juos per trijų tipų filtrus: naudotojas, užduotis, išėjimas arba neįtraukimas.

Svarbiausia dalis yra vartotojo audito demonas (auditd), kuris renka informaciją iš branduolio pagal iš anksto sukonfigūruotas taisykles ir sugeneruoja įrašus žurnalo faile: numatytasis žurnalas yra:

 /var/log/audit/audit.log

Be to, audispd yra įvykių multiplekseris, kuris sąveikauja su audd ir siunčia įvykius kitoms programoms, norinčioms įvykių apdorojimą realiuoju laiku.

Yra keletas naudotojų erdvės įrankių, skirtų valdyti ir gauti informaciją iš audito sistemos:

AuditctlTai programa, skirta valdyti branduolio audito sistemą.
AusearchTai programa, skirta ieškoti konkrečių įvykių audito žurnalo failuose.
„Aureport“Tai programa, skirta ataskaitoms apie įrašytus įvykius kurti.

Šiai analizei naudosime „CentOS 7“

2. Įdiekite ir sukonfigūruokite auditą „CentOS 7“

Pirmasis žingsnis yra įsitikinti, kad audito įrankis yra įdiegtas sistemoje naudojant komandą „rpm“ ir „grep“ įrankį:

 aps / min -qa | grep auditas

Rezultatas bus toks:

Jei neturime audito paketų, mes turime vykdyti šią komandą kaip pagrindiniai vartotojai:

 yum įdiegimo auditas

Įdiegę turime sukonfigūruoti, ar įjungtas audd, tam mes vykdysime bet kurią iš šių komandų tokia tvarka:

„CentOS“ arba „RHEL 7“

 systemctl įjungta auditdsystemctl būsena auditdsystemctl start auditd (paleidžia paslaugą) systemctl enable auditd (įgalina paslaugą)

„CentOS“ arba „RHEL 6“

 service auditd statusservice auditd start (paleidžia paslaugą) chkconfig auditd on (įgalina paslaugą)

Matome, kad jo būsena aktyvi.

3. Patikrinta konfigūracija

Norėdami sukonfigūruoti auditd, turime naudoti pagrindinį konfigūracijos failą /etc/audit/auditd.conf, nes ten bus galima valdyti paslaugos veikimą, pvz., Nustatyti žurnalo failo vietą, maksimalų žurnalo failų skaičių, įrašo formatą , kaip tvarkyti visus diskus, įrašų pasukimą ir kitas parinktis.
Tam naudosime pageidaujamą redaktorių:

 nano /etc/audit/auditd.conf

Ten pamatysime šiuos dalykus:

Matome, kad kiekviena eilutė leidžia mums nurodyti konkretų veiksmą ir, jei reikia, galime jį pakeisti.

4. „Linux“ audito taisyklės

Kaip minėta aukščiau, audd naudoja taisykles, kad surinktų konkrečią informaciją iš branduolio. Šios taisyklės iš esmės yra audctl parinktys, kurias galima iš anksto sukonfigūruoti faile /etc/audit/rules.d/audit.rules.

Galima apibrėžti trijų tipų audito taisykles:

Kontrolės taisyklėsTai leidžia keisti audito sistemos veikimą ir kai kuriuos jos nustatymus.
Failų sistemos taisyklėsŠios taisyklės leidžia tikrinti prieigą prie konkretaus failo ar katalogo.
Sistemos iškvietimo taisyklėsTai leidžia įrašyti sistemos skambučius, kuriuos atliko bet kuri programa.

Norėdami pasiekti šias taisykles, norimu redaktoriumi eisime šiuo maršrutu:

 nano /etc/audit/rules.d/audit.rules

Pamatysime šiuos dalykus:

Šiame faile pirmame skyriuje turime pridėti valdymo taisykles. Vėliau pridėkite audito taisykles vidurinėje dalyje ir galiausiai paskutiniame skyriuje yra nekintamumo parametrai, kurie taip pat yra kontrolės taisyklės.

Kai kurie šių taisyklių pavyzdžiai:

Pašalinkite visas ankstesnes taisykles

 -D

Apibrėžkite buferio dydį

 -b 3074

Nesėkmė sukuria panikos galimybę

 -f 4

Sukurkite daugiausia 120 audito pranešimų per sekundę

 -r 120

Taisyklės pavyzdys yra toks:

Ten mes turime šiuos dalykus:

Naudojamas norint nurodyti failą ar katalogą, kurį reikia žiūrėti.

 -w

LeidimaiTai leidimai registruotis, r - prieigai skaityti, w - prieigai rašyti, x - prieigai vykdyti ir - failo ar direktoriaus atributo keitimui.

 -p

Nustatykite taisyklių rinkinįLeidžia nustatyti pasirenkamąją grandinę, kad būtų galima nustatyti, kuri taisyklė (arba taisyklių rinkinys) sukūrė konkretų registro įrašą.

 -k

Kai taisyklės yra apibrėžtos, mes naudojame klavišų kombinaciją Ctrl + O, kad išsaugotume failą, ir Ctrl + X, kad išeitume. Pridėsime šias taisykles, atsižvelgdami į pavyzdį, vykdydami šias eilutes kaip root:

 auditctl -w / etc / passwd -p wa -k passwd_changesauditctl -w / etc / group -p wa -k group_changesauditctl -w / etc / sudoers -p wa -k sudoers_changes

Norėdami pamatyti dabartines taisykles, atliksime šiuos veiksmus:

 sudo auditctl -l

Tokiu būdu auditas tampa vertinga „CentOS 7“ audito priemone.

5. „Ausearch Linux“

„Ausearch“ programa sukurta taip, kad būtų galima ieškoti konkrečių įvykių audito žurnalo failų pagal įvykius ir skirtingus paieškos kriterijus, tokius kaip įvykio identifikatorius, rakto identifikatorius, procesoriaus architektūra, komandos pavadinimas, pagrindinio kompiuterio pavadinimas, grupės pavadinimas arba grupės ID.

Pagal numatytuosius nustatymus ausearch ieško /var/log/audit/audit.log faile. Galite nurodyti kitą failą naudodami komandą ausearch options -if filename. Kelių parinkčių pateikimas komandoje ausearch prilygsta operacijos AND naudojimui.

Norėdami naudoti numatytąją vertę ir pamatyti dabartinius žurnalus, vykdysime vieną iš šių komandų:

 katė /var/log/audit/audit.logcat /var/log/audit/audit.log | mažiau

Kaip matome, čia pateikti duomenys gali būti painūs, todėl „ausearch“ naudoja „ausearch“ sintaksę (parinktį), kad filtruotų šiuos rezultatus ir gautų viziją daug lengviau valdyti.

Turime tokių variantų kaip:

Patikrinkite procesų žurnalų vykdymąČia galime naudoti parametrą -p ir PID, kad gautume konkretų rezultatą:

 ausearch -p 579

Tikrinimo audito žurnalo failo bandymai prisijungtiŠiuo atveju, norėdami nustatyti konkrečius pranešimus, turime naudoti parametrą -m, o sėkmingiems rezultatams --sv.

 ausearch -m USER_LOGIN -sv nr

Raskite vartotojo veiklą „Auditd“ žurnalo faileŠiam rezultatui naudosime parametrą -ua ir vartotojo vardą:

 ausearch -ua Solvetic

Raskite naudotojų, grupių ir vaidmenų pakeitimusPasirinkus šią parinktį bus galima peržiūrėti visus sistemos pakeitimus, naudojamus su vartotojų paskyromis, grupėmis ir vaidmenimis; Mes galime nurodyti kelių tipų pranešimus, atskirtus kableliais, taip:

 ausearch -m ADD_USER, DEL_USER, USER_CHAUTHTOK, ADD_GROUP, DEL_GROUP, CHGRP_ID, ROLE_ASSIGN, ROLE_REMOVE -i

Pamatysime šiuos dalykus:

Žiūrėkite ausearch pagalbąNorėdami pamatyti įvairias šios priemonės parinktis, atliksime šiuos veiksmus:

 vyras ausearch

Taigi, atlikdami išsamų ir veiksmingą „CentOS“ ar „RedHat“ auditą, galime pamatyti įvairias galimybes.