Wat is Auditd?
Auditd is de gebruikersruimtecomponent van het Linux Auditing System. Auditd is een afkorting voor Linux Audit Daemon. In Linux wordt daemon aangeduid als achtergronddienst en is er een 'd' aan het einde van de toepassingsservice, aangezien deze op de achtergrond draait. De taak van auditd is het verzamelen en schrijven van logbestanden van audit naar de schijf als achtergrondservice
Waarom auditd . gebruiken?
Deze Linux-service biedt de gebruiker een aspect van beveiligingscontrole in Linux. De logboeken die worden verzameld en opgeslagen door auditd, zijn verschillende activiteiten die door de gebruiker in de Linux-omgeving worden uitgevoerd en als er een geval is waarin een gebruiker wil weten wat andere gebruikers hebben gedaan in een bedrijfs- of omgeving met meerdere gebruikers, kan die gebruiker toegang krijgen tot dit soort informatie in een vereenvoudigde en geminimaliseerde vorm, die bekend staat als logs. Als er een ongebruikelijke activiteit heeft plaatsgevonden op het systeem van een gebruiker, laten we zeggen dat zijn systeem is gecompromitteerd, kan de gebruiker terugkijken en zien hoe zijn systeem is aangetast en dit kan in veel gevallen ook helpen bij het reageren op incidenten.
Basisprincipes van auditd
De gebruiker kan de opgeslagen logs doorzoeken op: geauditeerd gebruik makend van op zoek naar en aureport Gereedschap. De auditregels staan in de directory, /etc/audit/audit.reglement die kan worden gelezen door auditctl bij opstarten. Deze regels kunnen ook worden gewijzigd met auditctl. Er is een auditd-configuratiebestand beschikbaar op: /etc/audit/auditd.conf.
Installatie
In op debian gebaseerde Linux-distributies kan de volgende opdracht worden gebruikt om auditd te installeren, als deze nog niet is geïnstalleerd:
[email protected]:~$ sudo apt-get install auditd audispd-pluginsBasiscommando voor auditd:
Voor het starten van een audit:
$ service gecontroleerdd startVoor het stoppen van auditd:
$ service gecontroleerd stopVoor het herstarten van auditd:
$ service auditd herstartVoor het ophalen van de gecontroleerde status:
$ service gecontroleerd statusVoor voorwaardelijk herstarten auditd:
$ service auditd condrestartVoor reload auditd-service:
$ service gecontroleerd herladenVoor roterende gecontroleerde logboeken:
$ service gecontroleerd roterenVoor het controleren van de uitvoer van geauditeerde configuraties:
$ chkconfig --list auditdWelke informatie kan worden vastgelegd in logboeken?
- Tijdstempel en gebeurtenisinformatie zoals type en uitkomst van een gebeurtenis.
- Evenement geactiveerd samen met de gebruiker die het heeft geactiveerd.
- Wijzigingen in controleconfiguratiebestanden.
- Toegangspogingen voor auditlogbestanden.
- Alle authenticatiegebeurtenissen met de geverifieerde gebruikers zoals ssh, enz.
- Wijzigingen in gevoelige bestanden of databases zoals wachtwoorden in /etc/passwd.
- Inkomende en uitgaande informatie van en naar het systeem.
Andere hulpprogramma's met betrekking tot audit:
Enkele andere belangrijke hulpprogramma's met betrekking tot audit worden hieronder gegeven:. We zullen er slechts enkele in detail bespreken, die vaak worden gebruikt.
controlectl:
Dit hulpprogramma wordt gebruikt om de gedragsstatus van audits te krijgen, auditconfiguraties in te stellen, te wijzigen of bij te werken. Syntaxis voor auditctl-gebruik is:
auditctl [opties]Hieronder volgen de opties of vlaggen die het meest worden gebruikt:
-met wie
Om een bewaking aan een bestand toe te voegen, wat betekent dat audit dat bestand in de gaten houdt en gebruikersactiviteiten met betrekking tot dat bestand aan logboeken toevoegt.
-k
Een filtersleutel of naam invoeren in de opgegeven configuratie:.
-p
Een filter toevoegen op basis van de toestemming van bestanden.
-S
Logboekregistratie voor een configuratie onderdrukken:.
-een
Om alle resultaten voor de opgegeven invoer van deze optie te krijgen:.
Om bijvoorbeeld een watch toe te voegen aan /etc/shadow-bestand met het gefilterde trefwoord 'shadow-key' en met permissies als 'rwxa':
$ auditctl -w /etc/shadow -k shadow-file -p rwxaaureport:
Dit hulpprogramma wordt gebruikt voor het genereren van overzichtsrapporten van auditlogboeken uit de geregistreerde logboeken. De rapportinvoer kan ook onbewerkte loggegevens zijn die naar aureport worden gevoerd met behulp van stdin. De basissyntaxis voor het gebruik van aureport is:
aureport [opties]Enkele van de standaard en meest gebruikte aureport-opties zijn als volgt:
-k
Een rapport genereren op basis van de sleutels die zijn gespecificeerd in de auditregels of -configuraties.
-ik
Om tekstuele informatie weer te geven in plaats van numerieke informatie zoals id, zoals het weergeven van gebruikersnaam in plaats van gebruikers-ID.
-au
Een rapport genereren van de authenticatiepogingen voor alle gebruikers.
-ik
Om een rapport te genereren met de inloggegevens van de gebruikers.
au zoeken:
Dit hulpprogramma is een zoekhulpmiddel voor auditlogboeken of gebeurtenissen. De zoekresultaten worden in ruil weergegeven, gebaseerd op verschillende zoekopdrachten. Net als aureport kunnen deze zoekopdrachten ook onbewerkte loggegevens zijn die aan ausearch worden doorgegeven met behulp van stdin. Ausearch doorzoekt standaard de logs die zijn geplaatst op /var/log/audit/audit.log, die direct kan worden weergegeven of geopend als een typopdracht, zoals hieronder:
$ cat /var/log/audit/audit.logDe eenvoudige syntaxis voor het gebruik van ausearch is:
zoeken [opties]Er zijn ook bepaalde vlaggen die kunnen worden gebruikt met het ausearch-commando, enkele veelgebruikte vlaggen zijn:
-p
Deze vlag wordt gebruikt om proces-ID's in te voeren om zoekopdrachten naar logs te zoeken, bijv.g., ausearch -p 6171.
-m
Deze vlag wordt gebruikt om te zoeken naar specifieke strings in logbestanden, bijv.g., ausearch -m USER_LOGIN.
-sv
Deze optie is succeswaarden als de gebruiker de succeswaarde opvraagt voor een specifiek deel van logboeken. Deze vlag wordt vaak gebruikt met -m vlag zoals ausearch -m USER_LOGIN -sv no.
-ua
Deze optie wordt gebruikt om een gebruikersnaamfilter voor de zoekopdracht in te voeren, bijv.g., ausearch -ua root.
-ts
Deze optie wordt gebruikt om een tijdstempelfilter voor de zoekopdracht in te voeren, bijv.g., ausearch -ts gisteren.
controlespd:
Dit hulpprogramma wordt gebruikt als een daemon voor het multiplexen van gebeurtenissen.
authenticiteit:
Dit hulpprogramma wordt gebruikt voor het traceren van binaire bestanden met behulp van auditcomponenten.
aulaat:
Dit hulpprogramma toont de laatste activiteiten die zijn vastgelegd in logboeken.
aulastlog:
Dit hulpprogramma toont de laatste inloggegevens van alle gebruikers of een bepaalde gebruiker.
ausyscall:
Met dit hulpprogramma kunnen namen en nummers van systeemoproepen worden toegewezen.
auvirt:
Dit hulpprogramma toont de audit-informatie specifiek voor de virtuele machines.
afsluitend
Hoewel Linux Auditing een relatief geavanceerd onderwerp is voor niet-technische Linux-gebruikers, maar de gebruikers zelf laten beslissen, is wat Linux biedt. In tegenstelling tot andere besturingssystemen, hebben Linux-besturingssystemen de neiging om hun gebruikers de controle te houden over hun eigen omgeving. Ook als beginnende of niet-technische gebruiker moet je altijd leren voor je eigen groei. Ik hoop dat dit artikel je heeft geholpen bij het leren van iets nieuws en nuttigs.