Hvad er Auditd?

Auditd er userpace-komponenten til Linux Auditing System. Auditd er en forkortelse for Linux Audit Daemon. I Linux kaldes dæmon baggrundskørselstjeneste, og der er en 'd' ved slutningen af ​​applikationstjenesten, da den kører i baggrunden. Audit's opgave er at indsamle og skrive logfiler til revision til disken som baggrundstjeneste

Hvorfor bruge auditd?

Denne Linux-tjeneste giver brugeren et sikkerhedsrevisionsaspekt i Linux. De logfiler, der indsamles og gemmes af auditd, er forskellige aktiviteter, der udføres i Linux-miljøet af brugeren, og hvis der er et tilfælde, hvor en bruger ønsker at forhøre sig om, hvad andre brugere har gjort i virksomheds- eller flerbrugermiljø, kan denne bruger få adgang til denne form for information i en forenklet og minimeret form, der er kendt som logfiler. Også, hvis der har været en usædvanlig aktivitet på en brugers system, lad os sige, at hans system var kompromitteret, så kan brugeren spore tilbage og se, hvordan dets system blev kompromitteret, og dette kan også hjælpe i mange tilfælde til hændelsesrespons.

Grundlæggende om revision d

Brugeren kan søge gennem de gemte logfiler ved at revision d ved brug af ausearch og aureport forsyningsselskaber. Revisionsreglerne findes i biblioteket, / etc / audit / audit.regler som kan læses af auditctl ved opstart. Disse regler kan også ændres ved hjælp af auditctl. Der findes auditd konfigurationsfil på / etc / audit / auditd.konf.

Installation

I debianbaserede Linux-distributioner kan følgende kommando bruges til at installere auditd, hvis den ikke allerede er installeret:

[e-mail-beskyttet]: ~ $ sudo apt-get install auditd audispd-plugins

Grundlæggende kommando til auditd:

For at starte revision d:

$ service auditd start

For at stoppe revision d:

$ service auditd stop

Til genstart af auditd:

$ service auditd genstart

For at hente auditd-status:

$ service auditd status

For betinget genstart af auditd:

$ service auditd genstart

For genindlæsning af revisionstjeneste:

$ service auditd genindlæsning

Til roterende auditd-logfiler:

$ service auditd rotere

Til kontrol af output for auditd-konfigurationer:

$ chkconfig - liste auditd

Hvilke oplysninger kan registreres i logfiler?

• Tidsstempel og begivenhedsinformation såsom type og resultat af en begivenhed.
• Begivenhed udløst sammen med den bruger, der udløste den.
• Ændringer i kontrolkonfigurationsfiler.
• Adgangsforsøg på revisionslogfiler.
• Alle godkendelsesbegivenheder med de godkendte brugere såsom ssh osv.
• Ændringer i følsomme filer eller databaser såsom adgangskoder i / etc / passwd.
• Indgående og udgående information fra og til systemet.

Andre værktøjer relateret til revision:

Nogle andre vigtige hjælpeprogrammer relateret til revision er angivet nedenfor. Vi vil kun diskutere et par af dem i detaljer, som ofte bruges.

auditctl:

Dette værktøj bruges til at få adfærdsstatus for revision, indstilling, ændring eller opdatering af revisionskonfigurationer. Syntaks til auditctl-brug er:

auditctl [optioner]

Følgende er de valgmuligheder eller flag, der mest bruges:

-w

At tilføje et ur til en fil, hvilket betyder, at revision vil holde øje med den fil og føje brugeraktiviteter relateret til den fil til logfiler.

-k

At indtaste en filternøgle eller et navn til den angivne konfiguration.

-s

For at tilføje et filter baseret på tilladelse fra filer.

-S

For at undertrykke logfange for en konfiguration.

--en

For at få alle resultaterne for det angivne input af denne mulighed.

For eksempel at tilføje et ur på / etc / shadow-fil med filtreret nøgleord 'shadow-key' og med tilladelser som 'rwxa':

$ auditctl -w / etc / shadow -k shadow-file -p rwxa

aureport:

Dette værktøj bruges til at generere rapporter om revisionslog fra de registrerede logfiler. Rapportinput kan også være rå logdata, der tilføres til aureport ved hjælp af stdin. Grundlæggende syntaks til aureportbrug er:

aureport [optioner]

Nogle af de grundlæggende og mest anvendte aureport-muligheder er som under:

-k

At generere en rapport baseret på de nøgler, der er specificeret i revisionsreglerne eller konfigurationerne.

-jeg

At vise tekstinformation i stedet for numeriske oplysninger som id, såsom at vise brugernavn i stedet for userid.

-au

At generere rapport om godkendelsesforsøg for alle brugere.

-l

At generere rapport, der viser brugeroplysningerne.

ausearch:

Dette værktøj søger værktøj til revisionslogfiler eller begivenheder. Søgeresultaterne vises til gengæld baseret på forskellige søgeforespørgsler. Ligesom aureport kan disse søgeforespørgsler også være rå logdata, der føres til ausearch ved hjælp af stdin. Som standard forespørger ausearch de logfiler, der er placeret på / var / log / audit / audit.log, som kan vises direkte eller fås som skrivekommando som nedenfor:

$ cat / var / log / audit / audit.log

Den enkle syntaks til brug af ausearch er:

ausearch [optioner]

Der er også visse flag, der kan bruges med ausearch-kommando, nogle almindeligt anvendte flag er:

-s

Dette flag bruges til at indtaste proces-id'er til søgeforespørgsler efter logfiler, f.eks.g., ausearch -p 6171.

-m

Dette flag bruges til at søge efter specifikke strenge i logfiler, f.eks.g., ausearch -m USER_LOGIN.

-sv

Denne mulighed er succesværdier, hvis brugeren spørger efter succesværdi for en bestemt del af logfiler. Dette flag bruges ofte med -m flag som f.eks ausearch -m USER_LOGIN -sv-nr.

-ua

Denne mulighed bruges til at indtaste et brugernavnfilter til søgeforespørgslen, f.eks.g., ausearch -ua rod.

-ts

Denne mulighed bruges til at indtaste et tidsstempelfilter til søgeforespørgslen, f.eks.g., ausearch -ts i går.

auditspd:

Dette værktøj bruges som en dæmon til multiplexering af begivenheder.

autrace:

Dette værktøj bruges til at spore binære filer ved hjælp af revisionskomponenter.

aulast:

Dette værktøj viser de seneste aktiviteter, der er registreret i logfiler.

aulastlog:

Dette værktøj viser de seneste loginoplysninger for alle brugere eller en given bruger.

ausyscall:

Dette værktøj tillader kortlægning af systemopkaldsnavne og -numre.

auvirt:

Dette værktøj viser revisionsoplysningerne specifikt til de virtuelle maskiner.

Afslutning

Selvom Linux Auditing er et relativt avanceret emne for ikke-tekniske Linux-brugere, men at lade brugerne beslutte selv, er det Linux tilbyder. I modsætning til andre operativsystemer har Linux-operativsystemer tendens til at holde deres brugere i kontrol over deres eget miljø. Som en nybegynder eller ikke-teknisk bruger skal man altid lære for sin egen vækst. Håber, at denne artikel hjalp dig med at lære noget nyt og nyttigt.