Veiligheid

Gecontroleerde Linux-zelfstudie

Gecontroleerde Linux-zelfstudie

Wat is Auditd?

Auditd is de gebruikersruimtecomponent van het Linux Auditing System. Auditd is een afkorting voor Linux Audit Daemon. In Linux wordt daemon aangeduid als achtergronddienst en is er een 'd' aan het einde van de toepassingsservice, aangezien deze op de achtergrond draait. De taak van auditd is het verzamelen en schrijven van logbestanden van audit naar de schijf als achtergrondservice

Waarom auditd . gebruiken?

Deze Linux-service biedt de gebruiker een aspect van beveiligingscontrole in Linux. De logboeken die worden verzameld en opgeslagen door auditd, zijn verschillende activiteiten die door de gebruiker in de Linux-omgeving worden uitgevoerd en als er een geval is waarin een gebruiker wil weten wat andere gebruikers hebben gedaan in een bedrijfs- of omgeving met meerdere gebruikers, kan die gebruiker toegang krijgen tot dit soort informatie in een vereenvoudigde en geminimaliseerde vorm, die bekend staat als logs. Als er een ongebruikelijke activiteit heeft plaatsgevonden op het systeem van een gebruiker, laten we zeggen dat zijn systeem is gecompromitteerd, kan de gebruiker terugkijken en zien hoe zijn systeem is aangetast en dit kan in veel gevallen ook helpen bij het reageren op incidenten.

Basisprincipes van auditd

De gebruiker kan de opgeslagen logs doorzoeken op: geauditeerd gebruik makend van op zoek naar en aureport Gereedschap. De auditregels staan ​​in de directory, /etc/audit/audit.reglement die kan worden gelezen door auditctl bij opstarten. Deze regels kunnen ook worden gewijzigd met auditctl. Er is een auditd-configuratiebestand beschikbaar op: /etc/audit/auditd.conf.

Installatie

In op debian gebaseerde Linux-distributies kan de volgende opdracht worden gebruikt om auditd te installeren, als deze nog niet is geïnstalleerd:

[email protected]:~$ sudo apt-get install auditd audispd-plugins

Basiscommando voor auditd:

Voor het starten van een audit:

$ service gecontroleerdd start

Voor het stoppen van auditd:

$ service gecontroleerd stop

Voor het herstarten van auditd:

$ service auditd herstart

Voor het ophalen van de gecontroleerde status:

$ service gecontroleerd status

Voor voorwaardelijk herstarten auditd:

$ service auditd condrestart

Voor reload auditd-service:

$ service gecontroleerd herladen

Voor roterende gecontroleerde logboeken:

$ service gecontroleerd roteren

Voor het controleren van de uitvoer van geauditeerde configuraties:

$ chkconfig --list auditd

Welke informatie kan worden vastgelegd in logboeken?

Andere hulpprogramma's met betrekking tot audit:

Enkele andere belangrijke hulpprogramma's met betrekking tot audit worden hieronder gegeven:. We zullen er slechts enkele in detail bespreken, die vaak worden gebruikt.

controlectl:

Dit hulpprogramma wordt gebruikt om de gedragsstatus van audits te krijgen, auditconfiguraties in te stellen, te wijzigen of bij te werken. Syntaxis voor auditctl-gebruik is:

auditctl [opties]

Hieronder volgen de opties of vlaggen die het meest worden gebruikt:

-met wie

Om een ​​bewaking aan een bestand toe te voegen, wat betekent dat audit dat bestand in de gaten houdt en gebruikersactiviteiten met betrekking tot dat bestand aan logboeken toevoegt.

-k

Een filtersleutel of naam invoeren in de opgegeven configuratie:.

-p

Een filter toevoegen op basis van de toestemming van bestanden.

-S

Logboekregistratie voor een configuratie onderdrukken:.

-een

Om alle resultaten voor de opgegeven invoer van deze optie te krijgen:.

Om bijvoorbeeld een watch toe te voegen aan /etc/shadow-bestand met het gefilterde trefwoord 'shadow-key' en met permissies als 'rwxa':

$ auditctl -w /etc/shadow -k shadow-file -p rwxa

aureport:

Dit hulpprogramma wordt gebruikt voor het genereren van overzichtsrapporten van auditlogboeken uit de geregistreerde logboeken. De rapportinvoer kan ook onbewerkte loggegevens zijn die naar aureport worden gevoerd met behulp van stdin. De basissyntaxis voor het gebruik van aureport is:

aureport [opties]

Enkele van de standaard en meest gebruikte aureport-opties zijn als volgt:

-k

Een rapport genereren op basis van de sleutels die zijn gespecificeerd in de auditregels of -configuraties.

-ik

Om tekstuele informatie weer te geven in plaats van numerieke informatie zoals id, zoals het weergeven van gebruikersnaam in plaats van gebruikers-ID.

-au

Een rapport genereren van de authenticatiepogingen voor alle gebruikers.

-ik

Om een ​​rapport te genereren met de inloggegevens van de gebruikers.

au zoeken:

Dit hulpprogramma is een zoekhulpmiddel voor auditlogboeken of gebeurtenissen. De zoekresultaten worden in ruil weergegeven, gebaseerd op verschillende zoekopdrachten. Net als aureport kunnen deze zoekopdrachten ook onbewerkte loggegevens zijn die aan ausearch worden doorgegeven met behulp van stdin. Ausearch doorzoekt standaard de logs die zijn geplaatst op /var/log/audit/audit.log, die direct kan worden weergegeven of geopend als een typopdracht, zoals hieronder:

$ cat /var/log/audit/audit.log

De eenvoudige syntaxis voor het gebruik van ausearch is:

zoeken [opties]

Er zijn ook bepaalde vlaggen die kunnen worden gebruikt met het ausearch-commando, enkele veelgebruikte vlaggen zijn:

-p

Deze vlag wordt gebruikt om proces-ID's in te voeren om zoekopdrachten naar logs te zoeken, bijv.g., ausearch -p 6171.

-m

Deze vlag wordt gebruikt om te zoeken naar specifieke strings in logbestanden, bijv.g., ausearch -m USER_LOGIN.

-sv

Deze optie is succeswaarden als de gebruiker de succeswaarde opvraagt ​​voor een specifiek deel van logboeken. Deze vlag wordt vaak gebruikt met -m vlag zoals ausearch -m USER_LOGIN -sv no.

-ua

Deze optie wordt gebruikt om een ​​gebruikersnaamfilter voor de zoekopdracht in te voeren, bijv.g., ausearch -ua root.

-ts

Deze optie wordt gebruikt om een ​​tijdstempelfilter voor de zoekopdracht in te voeren, bijv.g., ausearch -ts gisteren.

controlespd:

Dit hulpprogramma wordt gebruikt als een daemon voor het multiplexen van gebeurtenissen.

authenticiteit:

Dit hulpprogramma wordt gebruikt voor het traceren van binaire bestanden met behulp van auditcomponenten.

aulaat:

Dit hulpprogramma toont de laatste activiteiten die zijn vastgelegd in logboeken.

aulastlog:

Dit hulpprogramma toont de laatste inloggegevens van alle gebruikers of een bepaalde gebruiker.

ausyscall:

Met dit hulpprogramma kunnen namen en nummers van systeemoproepen worden toegewezen.

auvirt:

Dit hulpprogramma toont de audit-informatie specifiek voor de virtuele machines.

afsluitend

Hoewel Linux Auditing een relatief geavanceerd onderwerp is voor niet-technische Linux-gebruikers, maar de gebruikers zelf laten beslissen, is wat Linux biedt. In tegenstelling tot andere besturingssystemen, hebben Linux-besturingssystemen de neiging om hun gebruikers de controle te houden over hun eigen omgeving. Ook als beginnende of niet-technische gebruiker moet je altijd leren voor je eigen groei. Ik hoop dat dit artikel je heeft geholpen bij het leren van iets nieuws en nuttigs.

Muis Wijs uw muisknoppen anders toe voor verschillende software met X-Mouse Button Control
Wijs uw muisknoppen anders toe voor verschillende software met X-Mouse Button Control
Misschien heeft u een tool nodig waarmee u de bediening van uw muis kunt veranderen bij elke applicatie die u gebruikt. Als dit het geval is, kunt u e...
Muis Microsoft Sculpt Touch draadloze muis Review
Microsoft Sculpt Touch draadloze muis Review
Ik las onlangs over de Microsoft Sculpt Touch draadloze muis en besloot hem te kopen. Nadat ik het een tijdje had gebruikt, besloot ik mijn ervaring e...
Muis AppyMouse trackpad en muisaanwijzer op het scherm voor Windows-tablets
AppyMouse trackpad en muisaanwijzer op het scherm voor Windows-tablets
Tabletgebruikers missen vaak de muisaanwijzer, vooral wanneer ze gewend zijn om de laptop te gebruiken. Het touchscreen Smartphones en tablets hebben ...