Как да използвате системата за одит в CentOS 7

Как да използвате системата за одит в CentOS 7

Когато нашите роли и функции включват управление на всички елементи на корпоративната инфраструктура, независимо дали на мрежово или системно ниво, ние трябва да имаме полезни инструменти за наблюдение, проследяване на събития и осигуряване на оптимална работа на всички нейни компоненти.

Днес ще прегледаме как да внедрите и използвате системата за одит на Linux, инструмент за много неизвестни. Знаем, че има помощни програми на трети страни, които ни позволяват да управляваме различни параметри в системата, но тази помощна програма надхвърля това, от което се нуждаем, и ще прегледаме защо.

За този урок ще анализираме помощната програма за среда CentOS 7.

1. Познайте системата за одит на Linux


Със системата за одит можем да бъдем актуализирани относно основната информация за сигурността в нашата система.

Системата за одит ни предоставя отчети за всички събития, които се случват в системата въз основа на предварително определени правила; Важно е да се изясни, че със системата за одит не добавяме сигурност към CentOS 7, но тя ни позволява да анализираме какви недостатъци трябва да предприеме коригиращи действия по системата.

Информация, която може да се анализира

  • Промени в базата данни, например промени в пътя / etc / passwd.
  • Системата за одит предоставя дата, час и вид на събитието.
  • Опити за импортиране или експортиране на информация в системата.
  • Механизми за удостоверяване на потребителя.
  • Всички модификации на промените в одита и опитите за достъп до журналите за одит, наред с други.

2. Проверете инсталацията на системата за одит


В рамките на системата за одит имаме две важни схеми, които трябва да вземем предвид:

1. Ядрото на системата за одит приема всички събития, обработени от потребителя, и изпраща тази информация на одиторския демон.

2. Демонът на одита взема тази информация и създава записите.

Системата за одит обработва два пакета: одит Y одит-либТе са инсталирани по подразбиране в CentOS 7, можем да проверим тяхната инсталация, като използваме следната команда: 

 sudo yum list audit audit-libs

В случай, че нямаме такива, можем да инсталираме одиторската система, като използваме следната команда: 

 sudo yum инсталира одит
След като бъдат инсталирани, трябва да видим следния текст: 
 Инсталирани пакети audit.x86_64 audit-libs.x86_64
Нека преминем към системната конфигурация.

3. Конфигурирайте системата за одит в CentOS 7


След като потвърдим, че имаме необходимите пакети, ще променим конфигурацията на файла auditd.conf и именно в този файл имаме възможност да конфигурираме регистрите, събитията и други. За достъп до този файл ще използваме следната команда: 
 sudo nano /etc/audit/auditd.conf
Ще се покаже следният прозорец:

Най -важните параметри

  • num_logs: Позволява да се определи броят на трупите, които да се записват в оборудването.
  • max_log_file: Използвайки този параметър, можем да определим максималния размер на дневник.
  • интервал_наляво: Можем да зададем размера на свободното дисково пространство.
  • disk_full_action: Можем да определим определено действие, когато дискът е пълен.

Както виждаме, можем да регулираме различни параметри. Например, ако искаме броят на дневниците да бъде 12, просто изтриваме стойността по подразбиране (5) и добавяме желаната (12). Ако искаме да променим размера на дневниците на 20, просто променяме стойността по подразбиране (6) на необходимата (20).

Запазваме промените с помощта на комбинацията Ctrl + O и излизаме от редактора, използвайки комбинацията Ctrl + X. След като промените са обработени, трябва да рестартираме услугата за одит с помощта на командата: 

 sudo service auditd рестартиране
ЗабележкаАко искаме да редактираме параметрите на правилата, трябва да редактираме файла audit.rules, като използваме следната команда: 
 /etc/audit/rules.d/audit.rules

4. Разберете регистрационните файлове на системния одит в CentOS 7


По подразбиране системата за одит съхранява всички събития, настъпили в CentOS в пътя /var/log/audit/audit.log и тези файлове съдържат много информация и код, които може да не са толкова лесни за разбиране от много от нас, но Solvetic се грижи да обобщи малко тези файлове.

За да демонстрираме как работи системата за одит, ние създадохме правило, наречено sshconfigchange и то може да бъде създадено с помощта на следната команда: 

 sudo auditctl -w / etc / ssh / sshd_config -p rwxa -k sshconfigchange
За да видим правилото, използваме следния синтаксис: 
 sudo cat / etc / ssh / sshd_config

Сега ще видим дневника, създаден от инструмента за одит на системата, като въведем следното: 

 sudo nano /var/log/audit/audit.log

Ще разчитаме на три (3) жизненоважни записа:

  • SYSCALL
  • CWD
  • ПЪТ

Тези файлове са съставени, както следва:

  • Ключова дума: Отнася се до името на процеса (PATH, CWD и т.н.)
  • Времева отметка: Отнася се за датата и часа (1469708505.235)
  • Отивам: Състои се от идентификационния номер на въпросното събитие (153)

SYSCALL събитие
SYSCALL се отнася до съобщението, генерирано от извикване на ядрото от системата за одит, поле за съобщение = одит (1469708505.235:153):

В времева марка и поле за идентификация виждаме, че тези три записа имат една и съща стойност (1469708505.235: 153), което показва, че тези три записа са съхранени със същото събитие на одит.

The арково поле се отнася до архитектурата на машината, в този случай 40000003 показва, че е i386, ако е стойността c000003e, ще се отнася до x86_64 машина.

The Поле Syscall в него се споменава вида на повикването, изпратено до системата. Стойността може да варира, в този случай е 5. Можем да използваме командата sudo ausyscall 5, за да видим състоянието на услугата (Open).

Има повече от 300 стойности, ако искаме да видим какво означават стойностите като цяло можем да използваме командата: 

 sudo ausyscall -dum
И ще видим всички стойности и тяхното значение:

The Поле за успех Той ни казва дали обаждането на събитието е било успешно или не, да или не. Можем да намерим събитието SYSCALL и да превъртим наляво, за да видим включени други отчети.

The uid поле се отнася до потребителя, който е стартирал услугата за одит, в този случай е uid = 0.

The comm поле той се отнася до командата, която е била използвана за показване на съобщението, така че виждаме, че то се появява като comm = "cat".

The exe поле Той посочва пътя към командата, генерирала одиторското събитие, можем да видим в този пример, че е exe = " / usr / bin / cat".

CWD събитие
В CWD събитието можем да забележим, че няма същата информация като в SYSCALL, тук имаме директорията, използвана за запазване на събитията, CWD- Current Working Directory, следователно виждаме стойността cwd = ” / home / Soltic”.

PATH събитие
В последното събитие PATH виждаме, че поле за име който се отнася до файла или директорията, използвана за създаване на одита, в този случай виждаме следното: name = " / etc / ssh / sshd_config".

5. Търсете одитни събития за конкретни събития


Един от най -интересните начини да търсим събитие в CentOS 7 е чрез синтаксиса: 
 sudo ausearch -m Event_name --стартирайте днес -i
Тази команда ни позволява да филтрираме определено събитие и да не се налага да търсим целия файл на събитието, тъй като е обширен. В този случай ще търсим всички събития, свързани с влизането, затова ще въведем следното: 
 sudo ausearch -m ВХОД -започнете днес -i
Полученият резултат ще бъде следният:

Възможно е също така да филтрирате търсенето по идентификатор на събитието, за това ще използваме следния синтаксис: 

 sudo ausearch -a Event_ID
След това ще видим как да генерираме отчети.

6. Генериране на одитни доклади


Един от начините, по които можем да управляваме по -добре събитията, е с подробен отчет за случващото се в CentOS 7, а със системата за одит можем да генерираме отчети, които са лесни и ясни за разбиране, за да ни помогнат в управлението. За това ще използваме командата: 
 sudo aureport -x -резюме
И ще видим получения резултат:

Първата колона, която виждаме, показва колко пъти е изпълнена командата, а втората колона показва коя команда е изпълнена. По същия начин можем да генерираме отчет с неуспешните събития с помощта на командата: 

 sudo aureport -неуспешно

Ако искаме да генерираме отчет с потребителските имена и системните обаждания, ще използваме командата: 

 sudo aureport -f -i

7. Как да анализираме процесите поотделно


Възможно е понякога да се налага да анализираме процесите поотделно, а не цяла директория, за това ще използваме autrace, този инструмент ни позволява да следим системните обаждания към определен процес. Резултатите от autrace се съхраняват в пътя: 
 /var/log/audit/audit.log
Например ще анализираме пътя / кошчето / датата, за това ще използваме следното: 
 sudo autrace / bin / date

Виждаме, че събитието с ID 16541 е създадено. Сега продължаваме да въвеждаме следната команда, за да видим обобщението на събитието: 

 udo ausearch -p 16541 --raw | aureport -f -i

По този начин можем да анализираме файловете поотделно. В следната връзка можем да видим всички видове записи, които могат да бъдат одитирани от системата за одит в CentOS 7.

По този начин виждаме как системата за одит в CentOS 7 може да ни помогне да управляваме и наблюдаваме събитията, които се случват в нашите компютри и по този начин да гарантира, че имаме безопасна, стабилна и оптимална система.

Накрая ви оставяме урок за безплатния инструмент WinAudit, за да извършвате одити в Windows:

Одит с WinAudit

Така ще помогнете за развитието на сайта, сподели с приятелите си

wave wave wave wave wave

Популярни Публикации

wave
1
post-title
Как да активирате частно пространство и да видите скритите приложения Huawei P20 Pro
2
post-title
▷ Как да инсталирате Eclipse IDE Ubuntu 21.04 - Хирсутен хипопотам
3
post-title
Как да премахнете акаунта в Google Xiaomi Redmi Note 6 Pro
4
post-title
Как да поставите процента на батерията на Xiaomi Mi A2 Lite
5
post-title
▷ Как да инсталирате Kali Linux2021-2022.1 на VirtualBox или VMware

Препоръчано

wave
- Sponsored Ad -

Избор На Редактора

wave
- Sponsored Ad -