Що таке Auditd?

Auditd - це компонент простору користувача системи аудиту Linux. Auditd - це скорочення від Linux Audit Daemon. У Linux демон називається службою, що працює у фоновому режимі, і в кінці служби програми додається буква «d», оскільки вона працює у фоновому режимі. Завдання аудиту - збирати та записувати файли журналів аудиту на диск як фонову службу

Навіщо використовувати auditd?

Ця послуга Linux надає користувачеві аспект перевірки безпеки в Linux. Журнали, які збирає та зберігає аудит, - це різні дії, що виконуються користувачем у середовищі Linux, і якщо є випадок, коли будь-який користувач хоче дізнатися, що робили інші користувачі в корпоративному або багатокористувацькому середовищі, цей користувач може отримати доступ до такого роду інформації у спрощеній та мінімізованій формі, яка відома як журнали. Крім того, якщо в системі користувача відбулася незвична активність, скажімо, його система була зламана, тоді користувач може відстежувати і бачити, як була порушена його система, і це також може допомогти у багатьох випадках для реагування на інциденти.

Основи аудиту

Користувач може шукати в збережених журналах за аудит використання аусеарх і аурепорт комунальні послуги. Правила аудиту знаходяться в каталозі, / etc / audit / audit.правила які можна прочитати аудитктл при запуску. Крім того, ці правила також можна змінити за допомогою аудитктл. Існує файл конфігурації auditd, доступний за адресою / etc / audit / auditd.конф.

Встановлення

У дистрибутивах Linux на базі debian можна встановити наступну команду для встановлення auditd, якщо він ще не встановлений:

[захищено електронною поштою]: ~ $ sudo apt-get install auditd audispd-plugins

Основна команда для auditd:

Для початку аудиту:

$ service auditd старт

Для припинення аудиту:

$ служба аудитуdd зупинка

Для перезапуску auditd:

$ service auditd перезапустити

Для отримання стану аудиту:

$ service auditd статус

Для умовного перезапуску auditd:

$ service auditd condrestart

Для перезавантаження служби auditd:

$ service auditd перезавантажити

Для обертання журналів аудиту:

$ service auditd обертати

Для перевірки виводу конфігурацій auditd:

$ chkconfig - список аудиту

Яку інформацію можна записати в журнали?

• Відмітка часу та інформація про подію, наприклад тип та результат події.
• Подія ініціюється разом із користувачем, який її ініціював.
• Зміни до файлів конфігурації аудиту.
• Спроби доступу до файлів журналів аудиту.
• Усі події автентифікації з автентифікованими користувачами, такі як ssh тощо.
• Зміни до конфіденційних файлів або баз даних, таких як паролі в / etc / passwd.
• Вхідна та вихідна інформація від і до системи.

Інші утиліти, пов’язані з аудитом:

Деякі інші важливі утиліти, пов'язані з аудитом, наведені нижче. Ми лише детально обговоримо деякі з них, які є загальновживаними.

auditctl:

Ця утиліта використовується для отримання статусу поведінки аудиту, встановлення, зміни або оновлення конфігурацій аудиту. Синтаксис використання аудиту:

auditctl [параметри]

Нижче наведені варіанти або прапор, які в основному використовуються:

-w

Щоб додати годинник до файлу, це означає, що аудит буде стежити за цим файлом та додавати до журналів дії користувачів, пов’язані з цим файлом.

-k

Для введення ключа або імені фільтра до вказаної конфігурації.

-стор

Щоб додати фільтр на основі дозволу файлів.

-S

Щоб припинити збір журналу для конфігурації.

-a

Щоб отримати всі результати для вказаного введення цієї опції.

Наприклад, щоб додати годинник у файл / etc / shadow із відфільтрованим ключовим словом 'shadow-key' та з дозволами як 'rwxa':

$ auditctl -w / etc / shadow -k тінь-файл -p rwxa

аурепорт:

Ця утиліта використовується для створення підсумкових звітів журналу аудиту із записаних журналів. Вхідними даними звіту також можуть бути необроблені дані журналів, які передаються в aureport за допомогою stdin. Основним синтаксисом використання aureport є:

aureport [параметри]

Деякі з основних і найбільш часто використовуваних варіантів аурепорта:

-k

Сформувати звіт на основі ключів, зазначених у правилах та конфігураціях аудиту.

-i

Для відображення текстової інформації, а не числової інформації, такої як ідентифікатор, наприклад, відображення імені користувача замість ідентифікатора користувача.

-ау

Створити звіт про спроби автентифікації для всіх користувачів.

-л

Сформувати звіт, що відображає дані для входу користувачів.

пошук:

Ця утиліта є інструментом пошуку журналів аудиту або подій. Результати пошуку відображаються у відповідь на основі різних пошукових запитів. Як і aureport, ці пошукові запити також можуть бути необробленими даними журналів, які надсилаються на ausearch за допомогою stdin. За замовчуванням ausearch запитує журнали, розміщені в / var / log / audit / audit.журнал, які можна безпосередньо відобразити або отримати доступ як команду набору тексту, як показано нижче:

$ cat / var / log / audit / audit.журнал

Простий синтаксис використання ausearch:

ausearch [параметри]

Крім того, існують певні прапори, які можна використовувати за допомогою команди ausearch. Деякі загальновживані прапори:

-стор

Цей прапор використовується для введення ідентифікаторів процесу для пошуку запитів журналів, наприклад.g., ausearch -p 6171.

-м

Цей прапор використовується для пошуку певних рядків у файлах журналів, наприклад.g., ausearch -m USER_LOGIN.

-св

Цей параметр є значеннями успіху, якщо користувач запитує значення успіху для певної частини журналів. Цей прапор часто використовується із позначкою -m, наприклад ausearch -m USER_LOGIN -sv no.

-ua

Цей параметр використовується для введення фільтра імені користувача для пошукового запиту, наприклад.g., ausearch -ua корінь.

-ц

Цей параметр використовується для введення фільтру позначки часу для пошукового запиту, наприклад.g., ausearch -ts вчора.

auditspd:

Ця утиліта використовується як демон для мультиплексування подій.

autrace:

Ця утиліта використовується для відстеження двійкових файлів за допомогою компонентів аудиту.

ауласт:

Ця утиліта відображає останні дії, записані в журналах.

ауластлог:

Ця утиліта відображає останню інформацію для входу всіх користувачів або даного користувача.

ausyscall:

Ця утиліта дозволяє зіставити імена та номери системних викликів.

auvirt:

Ця утиліта відображає інформацію про аудит спеціально для віртуальних машин.

Висновок

Хоча аудит Linux - це відносно просунута тема для нетехнічних користувачів Linux, але дозволяючи користувачам вирішувати самостійно, Linux пропонує саме це. На відміну від інших операційних систем, операційні системи Linux, як правило, тримають своїх користувачів під контролем власного середовища. Будучи початківцем або нетехнічним користувачем, потрібно завжди вчитися для власного зростання. Сподіваюся, ця стаття допомогла вам вивчити щось нове та корисне.