Как да одитирате Linux с Auditd Tool и Ausearch

Като системни администратори, персонал на групата за поддръжка или просто като мярка за поддържане на най -добрите нива на контрол както на сървъра, така и на клиентските компютри на организацията, той непрекъснато одитира операционната система, за да бъде една крачка пред възможните грешки и по този начин запазва целостта и наличността на системата, както и нейните роли, услуги и елементи, съхранявани в нея.

Какво е одит на LinuxКогато говорим за система за одит в Linux среда, говорим за механизъм, който предоставя начин за проследяване на информация, свързана със сигурността в споменатата операционна система.

Одитът се състои от проверка на различните части, които съставляват конкретно тази система, с критична оценка и тестове, ако е необходимо, в различни области на интерес.

Въз основа на тази концепция днес Solvetic ще анализира два от най -добрите инструменти за процеса на одит в Linux: auditd и ausearch.

Важно е да се изясни, че одитът не осигурява допълнителна сигурност на операционната система, но може да се използва за откриване на нарушения на политиките за сигурност, използвани в системата, и по този начин да има достатъчно познания за тях.

ОдитAuditd е системата за одит на Linux, която разчита на предварително конфигурирани правила за генериране на записи в дневника и по този начин съхранява възможно най -много информация за събитията, които се случват в системата.

Тази събрана информация е от решаващо значение за критично важните среди, за да се определи нарушителят на политиката за сигурност и действията, които те са предприели, като по този начин позволяват всички действия по сигурността и новите политики, създадени в организацията, да бъдат фокусирани върху подобряване на цялата операционна среда.

Auditd може да записва следните регистрационни файлове

• Дата, час, вид и резултат от събитие.

• Етикети за чувствителност на субекта и обекта.

• Асоцииране на събитие с идентичността на потребителя, който е извършил събитието.

• Разгърнете всички модификации на конфигурацията на одита и се опитайте да получите достъп до журналните файлове на одита.

• Съхранявайте всички приложения на механизми за удостоверяване, като SSH, Kerberos и други.

• Възможно е да преминете към всяка надеждна база данни, като / etc / passwd.

• Записва всеки опит за импортиране или експортиране на информация към или от системата.

• Включва или изключва събития въз основа на потребителска идентичност, етикети на обект и обект и други атрибути.

ИзискванияПо същия начин използването на системата за одит също е необходимо изискване за поредица от сертификати, свързани със сигурността, ако това се наложи в даден момент. Одитът е проектиран да отговаря или надвишава изискванията на следните световни насоки или сертификати за съответствие:

• Профил за защита на контролиран достъп (CAPP)

• Етикетиран профил за защита на защитата (LSPP)

• Контрол на достъпа до основи (RSBAC)

• Ръководство за експлоатация на Националната програма за индустриална сигурност (NISPOM)

• Федерален закон за управление на сигурността на информацията (FISMA)

• Индустрия на платежни карти - Стандарт за сигурност на данните (PCI -DSS)

• Ръководства за техническо внедряване на сигурността (STIG)

Допълнителни предимстваНякои от допълнителните предимства на използването на системата за одит на Linux са следните:

• Не изисква външни програми или процеси да работят в система, което я прави самодостатъчна.

• Той е силно конфигуриран, поради което ни позволява да виждаме всяка операция на системата, която искаме.

• Той помага за откриване или анализ на потенциални компромиси на ниво сигурност на системата.

• Той може да функционира като независима система за откриване.

• Той може да работи със системи за откриване на проникване, за да позволи откриване на проникване.

• Това е жизненоважен инструмент за одит на съдебномедицинско разследване.

Въпреки че някои термини могат да изглеждат странни, ако се ангажираме със сигурността, това несъмнено е един от най -добрите варианти.

1. Компоненти на системата за одит на Linux за одит

Системата за одит има два основни компонента, които са:

• Потребителски приложения и помощни програми или инструменти

• Обработка на системни повиквания на ниво ядро, която приема системни обаждания от приложения на потребителското пространство и ги предава през три типа филтри: потребителски, задача, изход или изключване.

Най -важната част е демонът за потребителски одит (auditd), който събира информацията въз основа на предварително конфигурирани правила от ядрото и генерира записи в лог файл: дневникът по подразбиране е:

 /var/log/audit/audit.log

В допълнение към това, audispd е мултиплекс за събития, който взаимодейства с одит и изпраща събития до други програми, които искат да извършват обработка на събития в реално време.

Има няколко инструмента за потребителско пространство за управление и извличане на информация от системата за одит, които са:

ОдитТова е помощна програма за управление на системата за одит на ядрото.
AusearchТова е помощна програма за търсене на журнални файлове за одит за конкретни събития.
AureportТова е помощна програма за създаване на отчети за записани събития.

За този анализ ще използваме CentOS 7

2. Инсталирайте и конфигурирайте auditd на CentOS 7

Първата стъпка е да се уверите, че инструментът за одит е инсталиран в системата с помощта на командата rpm и помощната програма grep по следния начин:

 rpm -qa | grep одит

Резултатът ще бъде:

В случай, че нямаме пакети за одит, трябва да изпълним следната команда като root потребители:

 yum install audit

След като инсталираме, трябва да конфигурираме дали одитът е активиран, за това ще изпълним някоя от следните команди в техния ред:

На CentOS или RHEL 7

 systemctl е активиран auditdsystemctl статус auditdsystemctl старт одит (стартира услугата) systemctl разреши одит (разрешава услугата)

На CentOS или RHEL 6

 услуга одит статус услуга одит старт (стартира услугата) chkconfig одит на (активира услугата)

Можем да видим, че състоянието му е активно.

3. Проверка на конфигурацията

За да конфигурираме auditd, трябва да използваме основния конфигурационен файл /etc/audit/auditd.conf, тъй като там ще бъде възможно да се контролира как работи услугата, като например определяне на местоположението на лог файла, максималния брой лог файлове, формата на записа , как да боравите с пълни дискове, завъртане на записа и други опции.
За това ще използваме предпочитания редактор:

 nano /etc/audit/auditd.conf

Там ще видим следното:

Можем да видим, че всеки ред ни позволява да посочим конкретно действие и можем да го променим, ако е необходимо.

4. Правила за одит в Linux

Както бе отбелязано по -горе, одитът използва правила за събиране на специфична информация от ядрото. Тези правила са основно опции за одит, които могат да бъдат предварително конфигурирани във файла /etc/audit/rules.d/audit.rules.

Има три типа правила за одит, които могат да бъдат дефинирани, а именно:

Правила за контролТе позволяват промяна на поведението на одиторската система и някои от нейните настройки.
Правила на файловата системаТези правила позволяват одит на достъпа до определен файл или директория.
Правила за системни повикванияТе позволяват запис на системни повиквания, направени от всяка програма.

За достъп до тези правила ще преминем към следния маршрут с помощта на желания редактор:

 nano /etc/audit/rules.d/audit.rules

Ще видим следното:

В този файл, в първия раздел трябва да добавим правила за контрол. Впоследствие добавете правилата за одит в средната секция и накрая последната секция съдържа параметри на неизменност, които също са правила за контрол.

Някои примери за тези правила са:

Премахнете всички предишни правила

 -Д

Определете размера на буфера

 -b 3074

Неуспехът генерира опция за паника

 -f 4

Създайте максимум 120 одиторски съобщения в секунда

 -r 120

Пример за правило е следният:

Там имаме следното:

Използва се за определяне на файл или директория за гледане.

 -w

РазрешенияТе са разрешенията за регистриране, r - за достъп за четене, w - за достъп за запис, x - за достъп за изпълнение и - за промяна на атрибут на файл или директор.

 -стр

Определете набор от правилаПозволява ви да зададете незадължителна верига, за да определите кое правило (или набор от правила) е създало конкретен запис в системния регистър.

 -к

След като правилата са дефинирани, използваме комбинацията от клавиши Ctrl + O, за да запишем файла и Ctrl + X, за да го излезем. Ще добавим тези правила, като вземем тези от примера, като изпълним следните редове като root:

 auditctl -w / etc / passwd -p wa -k passwd_changesauditctl -w / etc / group -p wa -k group_changesauditctl -w / etc / sudoers -p wa -k sudoers_changes

За да видим настоящите правила, ще изпълним следното:

 sudo auditctl -l

По този начин одитът се превръща в ценен инструмент за одит в CentOS 7.

5. Ausearch Linux

Помощната програма ausearch е проектирана да позволява търсене на журнални файлове за одит за конкретни събития въз основа на събития и различни критерии за търсене като идентификатор на събитие, идентификатор на ключ, архитектура на процесора, име на команда, име на хост, име на група или идентификатор на група.

По подразбиране ausearch търси във /var/log/audit/audit.log файла. Можете да посочите различен файл, като използвате командата ausearch options -if filename. Предоставянето на множество опции в команда ausearch е еквивалентно на използването на оператора AND.

За да използваме стойността по подразбиране и да видим текущите дневници, ще изпълним една от следните команди:

 cat /var/log/audit/audit.logcat /var/log/audit/audit.log | по-малко

Както виждаме, представените тук данни могат да бъдат объркващи, поради което ausearch използва синтаксиса на ausearch (опция), за да филтрира тези резултати и да получи визия много по -лесна за управление.

Имаме опции като:

Проверете изпълнението на регистрационните файлове на процесаТам можем да използваме параметъра -p плюс PID, за да получим конкретен резултат:

 ausearch -p 579

Проверка на регистрационния файл на одита за опити за влизанеВ този случай трябва да използваме параметъра -m за идентифициране на конкретни съобщения и -sv за дефиниране на успешните резултати.

 ausearch -m USER_LOGIN -sv не

Намерете активността на потребителя в лог файла на AuditdЗа този резултат ще използваме параметъра -ua плюс потребителското име:

 ausearch -ua Solvetic

Намерете модификации на потребители, групи и ролиС тази опция ще бъде възможно да се прегледат всички системни промени, използвани с потребителски акаунти, групи и роли; Можем да посочим няколко типа съобщения, разделени със запетаи, както следва:

 ausearch -m ADD_USER, DEL_USER, USER_CHAUTHTOK, ADD_GROUP, DEL_GROUP, CHGRP_ID, ROLE_ASSIGN, ROLE_REMOVE -i

Ще видим следното:

Вижте помощ на ausearchЗа да видите различните опции на тази помощна програма, ще изпълним следното:

 човек търсач

Така че можем да видим различните опции при извършване на пълен и ефективен одит в CentOS или RedHat.