Инструмент Auditd для аудита безопасности на Linux Server

Опубликовано: 19 Февраля, 2023

Auditd — это сокращение от Linux Audit Daemon, который представляет собой инструмент в Linux, используемый для процесса сбора и записи файлов журнала аудита системы. Термин «демон» используется для процессов, которые выполняются в фоновом режиме службы в работе, это означает, что этот инструмент постоянно работает за кулисами.

Ниже приведены некоторые важные особенности системы Auditd:

  1. Это очень самостоятельный инструмент, который не зависит от помощи внешних программ.
  2. Он легко настраивается, что позволяет нам видеть широкий спектр системных операций.
  3. Любые потенциальные угрозы также могут быть обнаружены с помощью этого инструмента.
  4. Он может работать синхронно с другой системой обнаружения вторжений, чтобы узнать о злоумышленниках.
  5. судебные аудиты также полагаются на этот инструмент.

Примечание. Мы используем ОС как пользователь root, поэтому мы не везде пишем sudo.

Установка Auditd в системе:

Этот инструмент можно установить с помощью средства apt-get или wajig, которые оба используются для загрузки пакетов в Linux. В целях демонстрации давайте выполним поиск и посмотрим, к каким результатам придут поисковые проверки:

wajig search auditd

Это говорит об инструментах пользовательского пространства для аудита безопасности. Это то же самое, что мы обсуждали во вступительном разделе.

Используйте приведенную ниже команду для установки auditd в вашей системе:

apt-get install auditd

Подтвердите, успешно ли он установлен или нет:

 auditctl -l

Если получено подобное сообщение, значит, auditd успешно установлен. В настоящее время говорится «Нет правил », давайте разберемся в этом в следующем разделе.

Понимание того, как работает Auditd:

Понимание файлов аудита и доступа к каталогам:

Самая тривиальная вещь, которую можно сделать с помощью Auditd, это быть в курсе, когда кто-то изменяет файл или каталог. Но как мы можем найти это? Используйте приведенную ниже команду, чтобы сделать то же самое:

 auditctl -w  /etc/passwd -p  rwxa

Понимание используемых флагов:

  1. -w флаг —> Вставляет в путь наблюдение за объектом файловой системы.
  2. Флаг -p ---> Определяет тип доступа к файловой системе.
  3. rwxa ---> Это атрибуты чтения, записи и выполнения, связанные с флагом -p.

Аудит каталогов:

Давайте создадим образец каталога с именем tempdir для его аудита. Используйте следующую команду для аудита этого каталога:

auditctl  -w  /tempdir/

С помощью приведенной выше команды инструмент auditd будет следить за доступом к этому каталогу. Попробуем еще раз написать команду auditctl -l:

auditctl -l

Вы можете видеть, что ранее в сообщении говорилось «Нет правил», но теперь добавлены некоторые новые правила.

Просмотр созданных журналов:

После создания некоторых правил мы можем посмотреть логи с помощью инструмента auditd. Для этого Auditd предоставляет специальный инструмент, который называется ausearch. Для просмотра журналов введите следующую команду:

 ausearch -f /etc/passwd

Чтобы просмотреть журналы аудита tempdir, напишите приведенную ниже команду, файлы журнала аудита хранятся в пути /var/log/audit/audit.log.

tail -5  /var/log/audit/audit.log

Вы можете увидеть журналы аудита созданного нами каталога tempdir.

Просмотр созданных аудиторских отчетов:

Auditd также предоставляет нам инструмент для отслеживания всех наших журналов аудита и изменений. Название этого инструмента — aureport. Этот инструмент дает нам полную сводку всех отчетов из журнала аудита. Используйте приведенную ниже команду для получения отчетов об аудите:

aureport

Мы можем использовать эту команду с флагом -au, чтобы увидеть, какие пользователи не смогли успешно войти в систему.

aureport -au

Чтобы увидеть полную информацию обо всех изменениях, мы можем использовать команду aureport с флагом -m.

aureport  -m

Файл конфигурации Auditd:

Чтобы просмотреть файл конфигурации Auditd, введите следующую команду:

vi /etc/audit/rules.d/audit.rules

До сих пор мы создали пару правил, если мы хотим сделать их постоянными, мы можем добавить эти правила в этот файл конфигурации. Добавьте созданные правила и сохраните файл:

После окончательного добавления правил в файл и его сохранения перезапустите демон аудита, чтобы эти изменения вступили в силу.

service auditd restart

Таким образом, вы можете проверить файлы журналов и каталоги в вашей системе, в Auditd есть гораздо больше вариантов, но обсудить их все невозможно, если вы хотите утолить свое любопытство, вы можете прочитать и найти больше об аудите в его страница руководства.

Technical Scripter Picked Linux-Unix

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Количество чисел между L и R, взаимно простых с P
27 Февраля, 2023
Количество чисел между L и R, взаимно простых с P
27 Февраля, 2023
Постройте матрицу, каждая строка и столбец которой содержат N и M единиц соответственно.
27 Февраля, 2023
Постройте матрицу, каждая строка и столбец которой содержат N и M единиц соответственно.
27 Февраля, 2023
Найдите все факторы заданного числа и их побитовое XOR
27 Февраля, 2023
Показать самое длинное имя
27 Февраля, 2023
Форматирование лицензионного ключа
27 Февраля, 2023
Максимизируйте сумму трех чисел, выполнив побитовое XOR
27 Февраля, 2023