Auditd Linux Tutorial

Daniel Berntsen
Auditd Linux Tutorial

Hva er auditd?

Auditd er brukerområdet for Linux -revisjonssystemet. Auditd er forkortelse for Linux Audit Daemon. I Linux blir Daemon referert til som bakgrunnsløpstjeneste, og det er en 'D' vedlagt på slutten av applikasjonstjenesten når den kjører i bakgrunnen. Jobben til Auditd er å samle inn og skrive loggfiler for revisjon til disken som bakgrunnstjeneste

Hvorfor bruke Auditd?

Denne Linux -tjenesten gir brukeren et sikkerhetsrevisjonsaspekt i Linux. Loggene som er samlet og lagret av Auditd, er forskjellige aktiviteter som er utført i Linux-miljøet av brukeren, og hvis det er et tilfelle der noen bruker ønsker å spørre hva andre brukere har gjort i bedrifts- eller flerbrukermiljø, kan brukeren som bruker kan Få tilgang til denne typen informasjon i en forenklet og minimert form, som er kjent som logger. Hvis det har vært en uvanlig aktivitet på en brukers system, la oss si at systemet hans ble kompromittert, så kan brukeren spore tilbake og se hvordan systemet ble kompromittert, og dette kan også hjelpe i mange tilfeller for å svare.

Grunnleggende om auditd

Brukeren kan søke gjennom de lagrede logger av Auditd ved hjelp av Ausarch og aureport Verktøy. Revisjonsreglene er i katalogen, /etc/revisjon/revisjon.regler som kan leses av Auditctl ved oppstart. Disse reglene kan også endres ved hjelp av Auditctl. Det er AuditD -konfigurasjonsfil tilgjengelig på /etc/revisjon/revisjon.konf.

Installasjon

I Debian-baserte Linux-distribusjoner kan følgende kommando brukes til å installere AuditD, hvis ikke allerede installert:

ubuntu@ubuntu: ~ $ sudo apt-get installere auditd audispd-plugins

Grunnleggende kommando for auditd:

For å starte auditd:

$ service auditd start

For å stoppe Auditd:

$ service auditd stopp

For å starte Auditd på nytt:

$ service auditd omstart

For å hente Auditd -status:

$ Service Auditd Status

For betinget omstart av Auditd:

$ service auditd condrestart

For Reload Auditd Service:

$ Service Auditd Reload

For roterende auditd -logger:

$ Service Auditd roterer

For å sjekke AuditD -konfigurasjonsutgang:

$ chkconfig -list auditd

Hvilken informasjon kan registreres i logger?

  • Tidsstempel og hendelsesinformasjon som type og utfall av en hendelse.
  • Hendelsen utløst sammen med brukeren som utløste det.
  • Endringer i revisjonskonfigurasjonsfiler.
  • Tilgangsforsøk for revisjonsloggfiler.
  • Alle autentiseringshendelser med de autentiserte brukerne som SSH, etc.
  • Endringer i sensitive filer eller databaser som passord i /etc /passwd.
  • Innkommende og utgående informasjon fra og til systemet.

Andre verktøy relatert til revisjon:

Noen andre viktige verktøy relatert til revisjon er gitt nedenfor. Vi vil bare diskutere noen få av dem i detalj, som ofte brukes.

Auditctl:

Dette verktøyet brukes til å få atferdsstatus for revisjon, sette, endre eller oppdatere revisjonskonfigurasjoner. Syntaks for Auditctl -bruk er:

Auditctl [Alternativer]

Følgende er alternativene eller flagget som for det meste brukes:

-w

For å legge til en klokke i en fil som betyr at revisjonen vil følge med på den filen og legge til brukeraktiviteter relatert til den filen til logger.

-k

For å legge inn en filtertast eller navn til spesifisert konfigurasjon.

-p

For å legge til et filter basert på tillatelse fra filer.

-S

Å undertrykke loggfangst for en konfigurasjon.

-en

For å få alle resultatene for den spesifiserte innspillet til dette alternativet.

For å legge til en klokke på /etc /skyggefil med filtrert søkeord 'skygge-nøkkel' og med tillatelser som 'rwxa':

$ Auditctl -w /etc /Shadow -K Shadow -File -P RWXA

aureport:

Dette verktøyet brukes til å generere oppsummeringsrapporter fra revisjonsloggen fra de innspilte logger. Rapportinngang. Grunnleggende syntaks for bruk av aureport er:

aureport [alternativer]

Noen av de grunnleggende og mest brukte AurePort -alternativene er som under:

-k

For å generere en rapport basert på nøklene som er spesifisert i revisjonsreglene eller konfigurasjonene.

-Jeg

For å vise tekstinformasjon i stedet for numerisk informasjon som ID, for eksempel å vise brukernavn i stedet for UserId.

-au

Å generere rapport om autentiseringsforsøkene for alle brukere.

-l

For å generere rapport som viser påloggingsinformasjonen til brukerne.

Ausarch:

Dette verktøyet søker verktøy for revisjonslogger eller hendelser. Søkeresultatene vises til gjengjeld, basert på forskjellige søkespørsmål. I likhet med AurePort kan disse søkespørsmålene også være data om rå logger som blir matet til Ausearch ved hjelp av STDIN. Som standard spør Ausearch at loggene er plassert på /var/log/revisjon/revisjon.Logg, som kan vises direkte eller tilgang til som skrivekommando som nedenfor:

$ katt/var/log/revisjon/revisjon.Logg

Den enkle syntaksen for bruk av Ausearch er:

Ausearch [alternativer]

Det er også visse flagg som kan brukes med Ausearch -kommando, noen ofte brukte flagg er:

-p

Dette flagget brukes til å legge inn prosess -ID -er for å søke på spørsmål etter logger, e.g., AUSEARCH -P 6171.

-m

Dette flagget brukes til å søke etter spesifikke strenger i loggfiler, e.g., Ausearch -m user_login.

-sv

Dette alternativet er suksessverdier hvis brukeren spør om suksessverdi for spesifikke deler av logger. Dette flagget brukes ofte med -m flagg som for eksempel ausarch -m user_login -sv nei.

-ua

Dette alternativet brukes til å legge inn et brukernavnfilter for søket, e.g., Ausearch -ua rot.

-ts

Dette alternativet brukes til å legge inn et tidsstempelfilter for søket, e.g., Ausarch -ts i går.

auditspd:

Dette verktøyet brukes som en demon for multiplexing av hendelser.

Autrace:

Dette verktøyet brukes til å spore binærfiler ved bruk av revisjonskomponenter.

Aulast:

Dette verktøyet viser de nyeste aktivitetene som er registrert i logger.

Aulastlog:

Dette verktøyet viser den nyeste påloggingsinformasjonen til alle brukerne eller en gitt bruker.

Ausyscall:

Dette verktøyet tillater kartlegging av systemanrop og tall.

auvirt:

Dette verktøyet viser revisjonsinformasjonen spesielt for de virtuelle maskinene.

Konkluderer

Selv om Linux-revisjon er et relativt avansert tema for ikke-tekniske Linux-brukere, men å la brukerne bestemme selv, er det Linux tilbyr. I motsetning til andre operativsystemer, har Linux -operativsystemer en tendens til å holde brukerne i kontroll over sitt eget miljø. Også å være en nybegynner eller ikke-teknisk bruker, bør man alltid lære for ens egen vekst. Håper denne artikkelen hjalp deg med å lære noe nytt og nyttig.

C ++
Hvordan finne størrelsen på en streng i C++?
For å finne størrelsen på en streng i C ++, kan du bruke størrelse (), lengde () og strlen () funksj...
Anders Fjeld Moe
PHP
Hva er OOP -abstrakt klasse i PHP?
I PHP er en abstrakt klasse en klasse som ikke kan bli instantiert på egen hånd, men i stedet funger...
Anders Fjeld Moe
Golang
Hva er Golang Testing Package?
Golang -testpakken inneholder flere verktøy og funksjoner som gjør det lettere å teste, feilsøke og ...
Oskar Fossum
Oracle Database
Hvordan koble til Oracle Database Top 10c ved hjelp av SQL Developer?
Alexander Sørlie
Aws
Hvilke AWS -verktøy og DevOps er nødvendig for å utvikle en webapp?
Erik Røed
Docker
Hva er trinnene for å kjøre Nginx i en Docker -beholder på Ubuntu Top 10.Topp 10?
Oskar Fossum
Java
Hva er typekonvertering i Java?
Simen Stensrud
html
Hvordan kan Flexbox brukes til å lage en navigasjonslinje?
Lars Solberg
Java
Hva er import Java.io.*; I Java?
Oskar Fossum
Aws
Hvordan EC2 er forskjellig fra elastisk beanstalk?
Tobias Andresen
C skarp
Forskjell mellom == operatør og lik metode i C#?
Erik Røed
Sqlite
Kan jeg bruke sqlite online?
Jørgen Christiansen
PHP
Hvordan bruke pause og fortsette i PHP?
Elias Aalerud Aasen