Hoe het auditsysteem in CentOS 7 te gebruiken

Hoe het auditsysteem in CentOS 7 te gebruiken

Wanneer onze rollen en functies betrekking hebben op het beheer van alle elementen van de bedrijfsinfrastructuur, of dit nu op netwerk- of systeemniveau is, moeten we over handige tools beschikken om gebeurtenissen te monitoren, te volgen en de optimale prestaties van al zijn componenten te garanderen.

Vandaag zullen we beoordelen hoe het Linux-controlesysteem te implementeren en te gebruiken?, een hulpmiddel voor velen onbekend. We weten dat er hulpprogramma's van derden zijn waarmee we verschillende parameters binnen het systeem kunnen beheren, maar dit hulpprogramma gaat verder dan wat we nodig hebben en we zullen bekijken waarom.

Voor deze tutorial zullen we het hulpprogramma op een omgeving analyseren CentOS 7.

1. Ken het Linux-auditsysteem


Met het auditsysteem kunnen we op de hoogte worden gehouden van de essentiële beveiligingsinformatie in ons systeem.

Het auditsysteem geeft ons rapporten over alle gebeurtenissen die zich in het systeem voordoen op basis van vooraf gedefinieerde regels; Het is belangrijk om te verduidelijken dat we met het auditsysteem geen beveiliging toevoegen aan CentOS 7, maar het stelt ons in staat om te analyseren welke fouten het systeem heeft om corrigerende maatregelen te nemen.

Informatie die kan analyseren

  • Databasewijzigingen, bijvoorbeeld padwijzigingen / etc / wachtwoord.
  • Het auditsysteem geeft datum, tijd en type evenement weer.
  • Pogingen om informatie binnen het systeem te importeren of exporteren.
  • Gebruikersauthenticatiemechanismen.
  • Alle aanpassingen aan auditwijzigingen en pogingen om toegang te krijgen tot auditlogs, onder andere.

2. Controleer de installatie van het auditsysteem


Binnen het auditsysteem hebben we twee belangrijke schema's om rekening mee te houden:

1. De kern van het auditsysteem neemt alle gebeurtenissen die door de gebruiker worden verwerkt en stuurt deze informatie naar de auditdaemon.

2. De auditdaemon neemt deze informatie en maakt de records.

Het auditsysteem hanteert twee pakketten: auditie Y audit-libsDeze zijn standaard geïnstalleerd in CentOS 7, we kunnen hun installatie controleren met de volgende opdracht: 

 sudo yum lijst audit audit-libs

Als we ze niet hebben, kunnen we het auditsysteem installeren met behulp van de volgende opdracht: 

 sudo yum installatie audit
Nadat ze zijn geïnstalleerd, moeten we de volgende tekst zien: 
 Geïnstalleerde pakketten audit.x86_64 audit-libs.x86_64
Laten we verder gaan met de systeemconfiguratie.

3. Configureer het auditsysteem in CentOS 7


Zodra we hebben gevalideerd dat we de vereiste pakketten hebben, gaan we de configuratie van het bestand wijzigen auditd.conf en het is in dit bestand dat we de mogelijkheid hebben om de registers, evenementen en andere te configureren. Om toegang te krijgen tot dit bestand gebruiken we de volgende opdracht: 
 sudo nano /etc/audit/auditd.conf
Het volgende venster wordt weergegeven:

Belangrijkste parameters

  • aantal_logs: Hiermee kunt u het aantal logboeken definiëren dat in de apparatuur moet worden geregistreerd.
  • max_log_file: Met deze parameter kunnen we de maximale grootte van een log definiëren.
  • spatie_links: We kunnen de hoeveelheid vrije schijfruimte instellen.
  • disk_full_action: We kunnen een bepaalde actie definiëren voor wanneer de schijf vol is.

Zoals we kunnen zien, kunnen we verschillende parameters aanpassen. Als we bijvoorbeeld willen dat het aantal logboeken 12 is, verwijderen we gewoon de standaardwaarde (5) en voegen we de gewenste toe (12). Als we de grootte van de logboeken willen wijzigen in 20, veranderen we gewoon de standaardwaarde (6) in de vereiste waarde (20).

We slaan de wijzigingen op met behulp van de combinatie Ctrl + O en we verlaten de editor met de combinatie Ctrl + X. Nadat de wijzigingen zijn verwerkt, moeten we de auditservice opnieuw starten met de opdracht: 

 sudo service auditd herstart
OpmerkingAls we de parameters van de regels willen bewerken, moeten we het bestand audit.rules bewerken met de volgende opdracht: 
 /etc/audit/rules.d/audit.rules

4. Begrijp systeemauditlogboeken in CentOS 7


Standaard slaat het auditsysteem alle gebeurtenissen op die zich in CentOS hebben voorgedaan in het pad /var/log/audit/audit.log en deze bestanden bevatten veel informatie en code die voor velen van ons misschien niet zo gemakkelijk te begrijpen zijn, maar Solvetic zorgt ervoor dat deze bestanden een beetje worden samengevat.

Om te demonstreren hoe het auditsysteem werkt, hebben we een regel gemaakt met de naam sshconfigchange en deze kan worden gemaakt met behulp van de volgende opdracht: 

 sudo auditctl -w / etc / ssh / sshd_config -p rwxa -k sshconfigchange
Om de regel te zien, gebruiken we de volgende syntaxis: 
 sudo cat / etc / ssh / sshd_config

Nu gaan we het logboek bekijken dat is gemaakt door de systeemaudittool door het volgende in te voeren: 

 sudo nano /var/log/audit/audit.log

We gaan af op drie (3) vitale gegevens:

  • SYSCALL
  • CWD
  • PAD

Deze bestanden zijn als volgt samengesteld:

  • Trefwoord: verwijst naar de naam van het proces (PATH, CWD, enz.)
  • Tijdstempel: Verwijst naar de datum en tijd (1469708505235)
  • Gaan: Bestaat uit de ID van het betreffende evenement (153)

SYSCALL-gebeurtenis
SYSCALL verwijst naar het bericht dat wordt gegenereerd door een kernelaanroep van het auditsysteem, berichtveld = controle (1469708505.235:153):

In de tijdstempel en ID-veld we zien dat deze drie records dezelfde waarde hebben (1469708505235: 153) wat aangeeft dat deze drie records zijn opgeslagen met dezelfde auditgebeurtenis.

De boogveld verwijst naar de architectuur van de machine, in dit geval geeft 400000003 aan dat het i386 is, als het de waarde c000003e zou zijn, zou het verwijzen naar een x86_64-machine.

De Syscall-veld het vermeldt het type oproep dat naar het systeem is verzonden. De waarde kan variëren, in dit geval is het 5. We kunnen het commando sudo ausyscall 5 gebruiken om de status van de service te zien (Open).

Er zijn meer dan 300 waarden, als we willen zien wat de waarden in het algemeen betekenen, kunnen we de opdracht gebruiken: 

 sudo ausyscall -dump
En we zullen alle waarden en hun betekenis zien:

De Succes veld Het vertelt ons of de gebeurtenisoproep succesvol was of niet, ja of nee. We kunnen de SYSCALL-gebeurtenis lokaliseren en naar links scrollen om andere opgenomen rapporten te zien.

De uid veld verwijst naar de gebruiker die de auditservice heeft gestart, in dit geval is het uid = 0.

De communicatieveld het verwijst naar het commando dat werd gebruikt om het bericht weer te geven, dus we zien dat het verschijnt als comm = "cat".

De exe veld Het geeft het pad aan naar de opdracht die de auditgebeurtenis heeft gegenereerd, we kunnen in dit voorbeeld zien dat het exe = "/ usr / bin / cat" is.

CWD-evenement
In de CWD-gebeurtenis kunnen we opmerken dat er niet dezelfde informatie is als in SYSCALL, hier hebben we de map die wordt gebruikt om de gebeurtenissen op te slaan, CWD- Current Working Directory, vandaar dat we de waarde cwd = ”/ home / solvetic” zien.

PATH-evenement
In het laatste evenement, PATH, zien we dat de naamveld die verwijst naar het bestand of de map die is gebruikt om de audit te maken, in dit geval zien we het volgende: naam = "/ etc / ssh / sshd_config".

5. Zoek auditgebeurtenissen voor specifieke evenementen


Een van de meest interessante manieren waarop we naar een evenement in CentOS 7 kunnen zoeken, is door de syntaxis te gebruiken: 
 sudo ausearch -m Naam evenement --start vandaag -i
Met deze opdracht kunnen we een bepaalde gebeurtenis filteren en hoeven we niet het hele gebeurtenisbestand te doorzoeken omdat het uitgebreid is. In dit geval zoeken we naar alle gebeurtenissen die aan de login zijn gekoppeld, daarom voeren we het volgende in: 
 sudo ausearch -m AANMELDEN --start vandaag -i
Het verkregen resultaat is het volgende:

Het is ook mogelijk om de zoekopdracht op gebeurtenis-ID te filteren, hiervoor gebruiken we de volgende syntaxis: 

 sudo ausearch -a Event_ID
Vervolgens zullen we zien hoe u rapporten kunt genereren.

6. Auditrapporten genereren


Een van de manieren waarop we evenementen beter kunnen beheren, is met een gedetailleerd rapport over wat er gebeurt in CentOS 7 en met het auditsysteem kunnen we rapporten genereren die eenvoudig en duidelijk te begrijpen zijn om ons te helpen bij ons beheer. Hiervoor gebruiken we het commando: 
 sudo aureport -x -summary
En we zullen het verkregen resultaat zien:

De eerste kolom die we zien geeft het aantal keren aan dat de opdracht is uitgevoerd en de tweede kolom geeft aan welke opdracht is uitgevoerd. Op dezelfde manier kunnen we een rapport genereren met de mislukte gebeurtenissen met behulp van de opdracht: 

 sudo aureport --failed

Als we een rapport willen genereren met de gebruikersnamen en de systeemaanroepen, gebruiken we de opdracht: 

 sudo aureport -f -i

7. Hoe processen afzonderlijk te analyseren?


Het is mogelijk dat we soms processen afzonderlijk moeten analyseren en niet een hele directory, hiervoor zullen we autrace gebruiken, deze tool stelt ons in staat om systeemaanroepen naar een bepaald proces te volgen. De autrace-resultaten worden opgeslagen in het pad: 
 /var/log/audit/audit.log
Bijvoorbeeld we zullen het pad / de bin / de datum analyseren, hiervoor gebruiken we het volgende: 
 sudo autrace / bin / datum

We zien dat de gebeurtenis met ID 16541 is gemaakt. Nu gaan we verder met het invoeren van de volgende opdracht om de samenvatting van de gebeurtenis te zien: 

 udo ausearch -p 16541 --ruwe | aureport -f -i

Op deze manier kunnen we bestanden individueel analyseren. In de volgende link kunnen we alle soorten records zien die kunnen worden gecontroleerd door het auditsysteem in CentOS 7.

Op deze manier zien we hoe het auditsysteem in CentOS 7 ons kan helpen om de gebeurtenissen die plaatsvinden op onze computers te beheren en te begeleiden en zo te zorgen dat we een veilig, stabiel en optimaal systeem hebben.

Ten slotte laten we u een tutorial achter over de gratis WinAudit-tool, om audits uit te voeren in Windows:

Audit met WinAudit

U zal helpen de ontwikkeling van de site, het delen van de pagina met je vrienden

wave wave wave wave wave

Populaire Berichten

wave
1
post-title
Gebruik en configureer Resilient File System ReFS in Windows 10
2
post-title
▷ CONTACTEN OVERDRAGEN van iPhone naar Gmail - Synchroniseren en exporteren
3
post-title
Hoog schijfgebruik Windows 10 met Microsoft Compatibility Telemetry (CompatTelTunner.exe)
4
post-title
Hoe het werkt en PAM configureert in Linux
5
post-title
Hoe Notch Xiaomi Mi 8 Pro uit te schakelen en te verwijderen

Aanbevolen

wave
- Sponsored Ad -

Editor'S Choice

wave
- Sponsored Ad -