Sådan bruges revisionssystemet i CentOS 7

Sådan bruges revisionssystemet i CentOS 7

Når vores roller og funktioner involverer styring af alle elementerne i virksomhedsinfrastrukturen, hvad enten det er på netværks- eller systemniveau, skal vi have nyttige værktøjer til at overvåge, spore begivenheder og sikre den optimale ydelse af alle dets komponenter.

I dag vil vi gennemgå hvordan man implementerer og bruger Linux -revisionssystemet, et værktøj til mange ukendte. Vi ved, at der er tredjepartsværktøjer, der giver os mulighed for at styre forskellige parametre i systemet, men dette værktøj går ud over, hvad vi har brug for, og vi vil gennemgå hvorfor.

Til denne vejledning analyserer vi værktøjet i et miljø CentOS 7.

1. Kend Linux -revisionssystemet


Med revisionssystemet kan vi blive opdateret om de væsentlige sikkerhedsoplysninger i vores system.

Revisionssystemet giver os rapporter om alle de hændelser, der sker i systemet baseret på foruddefinerede regler; Det er vigtigt at præcisere, at vi med revisionssystemet ikke tilføjer sikkerhed til CentOS 7, men det giver os mulighed for at analysere, hvilke fejl systemet har til at tage korrigerende handlinger på det.

Information, der er i stand til at analysere

  • Databaseændringer, f.eks. Stiændringer / etc / passwd.
  • Revisionssystemet angiver dato, klokkeslæt og type begivenhed.
  • Forsøg på at importere eller eksportere oplysninger inden for systemet.
  • Brugergodkendelsesmekanismer.
  • Alle ændringer af revisionsændringer og forsøg på blandt andet at få adgang til revisionslogfiler.

2. Kontroller installationen af ​​revisionssystemet


Inden for revisionssystemet har vi to vigtige ordninger, der skal tages i betragtning:

1. Kernen i revisionssystemet tager alle de begivenheder, der behandles af brugeren, og sender disse oplysninger til revisionsdæmonen.

2. Revisionsdæmonen tager disse oplysninger og opretter optegnelserne.

Revisionssystemet håndterer to pakker: revidere Y revisions-libsDisse er installeret som standard i CentOS 7, vi kan kontrollere deres installation ved hjælp af følgende kommando: 

 sudo yum liste audit audit-libs

Hvis vi ikke har dem, kan vi installere revisionssystemet ved hjælp af følgende kommando: 

 sudo yum installere revision
Når de er blevet installeret, skal vi se følgende tekst: 
 Installerede pakker audit.x86_64 audit-libs.x86_64
Lad os gå videre til systemkonfigurationen.

3. Konfigurer revisionssystemet i CentOS 7


Når vi har bekræftet, at vi har de nødvendige pakker, ændrer vi konfigurationen af ​​filen auditd.conf og det er i denne fil, at vi har mulighed for at konfigurere registre, begivenheder og andre. For at få adgang til denne fil bruger vi følgende kommando: 
 sudo nano /etc/audit/auditd.conf
Følgende vindue vises:

Vigtigste parametre

  • num_logs: Det gør det muligt at definere antallet af logs, der skal registreres i udstyret.
  • max_log_file: Ved hjælp af denne parameter kan vi definere den maksimale størrelse af en log.
  • mellemrum_ venstre: Vi kan indstille mængden af ​​ledig diskplads.
  • disk_full_action: Vi kan definere en bestemt handling, når disken er fuld.

Som vi kan se, kan vi justere forskellige parametre. For eksempel, hvis vi vil have antallet af logfiler til at være 12, sletter vi simpelthen standardværdien (5) og tilføjer den ønskede (12). Hvis vi vil ændre størrelsen på logfiler til 20, ændrer vi simpelthen standardværdien (6) til den nødvendige (20).

Vi gemmer ændringerne ved hjælp af kombinationen Ctrl + O. og vi forlader editoren ved hjælp af kombinationen Ctrl + X. Når ændringerne er blevet behandlet, skal vi genstarte revisionstjenesten ved hjælp af kommandoen: 

 sudo service auditd genstart
BemærkHvis vi vil redigere parametrene for reglerne, skal vi redigere filen audit.rules ved hjælp af følgende kommando: 
 /etc/audit/rules.d/audit.rules

4. Forstå systemrevisionslogfiler i CentOS 7


Som standard gemmer revisionssystemet alle hændelser, der fandt sted i CentOS i stien /var/log/audit/audit.log og disse filer indeholder en masse oplysninger og kode, der måske ikke er så let for mange af os at forstå, men Solvetic sørger for at opsummere disse filer lidt.

For at demonstrere, hvordan revisionssystemet fungerer, har vi oprettet en regel kaldet sshconfigchange, og den kan oprettes ved hjælp af følgende kommando: 

 sudo auditctl -w / etc / ssh / sshd_config -p rwxa -k sshconfigchange
For at se reglen bruger vi følgende syntaks: 
 sudo cat / etc / ssh / sshd_config

Nu skal vi se loggen oprettet af systemrevisionsværktøjet ved at indtaste følgende: 

 sudo nano /var/log/audit/audit.log

Vi vil stole på tre (3) vitale optegnelser:

  • SYSCALL
  • CWD
  • STI

Disse filer er sammensat som følger:

  • Nøgleord: Henviser til procesens navn (PATH, CWD osv.)
  • Tidsstempel: Henviser til dato og klokkeslæt (1469708505.235)
  • : Består af id for den pågældende begivenhed (153)

SYSCALL begivenhed
SYSCALL refererer til meddelelsen, der genereres af et kernekald fra revisionssystemet, msg felt = revision (1469708505.235:153):

I tidsstempel og id -felt vi ser, at disse tre poster har den samme værdi (1469708505.235: 153), hvilket angiver, at disse tre poster blev gemt med den samme revisionshændelse.

Det buefelt refererer til maskinens arkitektur, i dette tilfælde angiver 40000003, at det er i386, hvis det var værdien c000003e, ville det referere til en x86_64 -maskine.

Det Syscall -felt det nævner den type opkald, der blev sendt til systemet. Værdien kan variere, i dette tilfælde er den 5. Vi kan bruge kommandoen sudo ausyscall 5 for at se status for tjenesten (Åben).

Der er mere end 300 værdier, hvis vi vil se, hvad værdierne generelt betyder, kan vi bruge kommandoen: 

 sudo ausyscall -dump
Og vi vil se alle værdierne og deres betydning:

Det Succesfelt Det fortæller os, om begivenhedsopkaldet var vellykket eller ej, ja eller nej. Vi kan finde SYSCALL -begivenheden og rulle til venstre for at se andre rapporter inkluderet.

Det uid felt refererer til den bruger, der startede revisionstjenesten, i dette tilfælde er det uid = 0.

Det komm. felt det refererer til kommandoen, der blev brugt til at vise meddelelsen, så vi ser, at den fremstår som comm = "cat".

Det exe -felt Det angiver stien til den kommando, der genererede revisionshændelsen, vi kan se i dette eksempel, at det er exe = " / usr / bin / cat".

CWD -begivenhed
I CWD-hændelsen kan vi bemærke, at der ikke er de samme oplysninger som i SYSCALL, her har vi biblioteket, der bruges til at gemme hændelserne, CWD- Current Working Directory, derfor ser vi værdien cwd = ” / home / solvetic”.

STI begivenhed
I den sidste begivenhed, PATH, ser vi, at navnefelt som refererer til filen eller biblioteket, der blev brugt til at oprette revisionen, i dette tilfælde ser vi følgende: name = " / etc / ssh / sshd_config".

5. Søg efter revisionsbegivenheder efter bestemte begivenheder


En af de mest interessante måder, vi kan søge efter en begivenhed i CentOS 7, er ved at bruge syntaksen: 
 sudo ausearch -m Event_name -start i dag -i
Denne kommando giver os mulighed for at filtrere en bestemt hændelse og ikke behøver at søge i hele hændelsesfilen, da den er omfattende. I dette tilfælde vil vi søge efter alle de hændelser, der er forbundet med login, derfor vil vi indtaste følgende: 
 sudo ausearch -m LOGIN -start i dag -i
Det opnåede resultat vil være følgende:

Det er også muligt at filtrere søgningen efter hændelses -id for dette, vi vil bruge følgende syntaks: 

 sudo ausearch -a Event_ID
Dernæst vil vi se, hvordan du genererer rapporter.

6. Generer revisionsrapporter


En af måderne, hvorpå vi bedre kan styre begivenheder, er med en detaljeret rapport om, hvad der sker i CentOS 7, og med revisionssystemet kan vi generere rapporter, der er enkle og klare at forstå for at hjælpe os i vores ledelse. Til dette vil vi bruge kommandoen: 
 sudo aureport -x -summary
Og vi vil se resultatet opnået:

Den første kolonne, vi ser, angiver antallet af gange, kommandoen er blevet udført, og den anden kolonne angiver, hvilken kommando der blev udført. På samme måde kan vi generere en rapport med de mislykkede hændelser ved hjælp af kommandoen: 

 sudo aureport -mislykkedes

Hvis vi vil generere en rapport med brugernavne og systemopkald, bruger vi kommandoen: 

 sudo aureport -f -i

7. Sådan analyseres processer individuelt


Det er muligt, at vi nogle gange er nødt til at analysere processer individuelt og ikke et helt bibliotek, for dette vil vi bruge autrace, dette værktøj giver os mulighed for at overvåge systemopkald til en bestemt proces. Autrace -resultaterne gemmes på stien: 
 /var/log/audit/audit.log
For eksempel vi vil analysere stien / bin / datoen, til dette vil vi bruge følgende: 
 sudo autrace / bin / date

Vi ser, at begivenheden med ID 16541 er blevet oprettet. Nu fortsætter vi med at indtaste følgende kommando for at se hændelsesoversigten: 

 udo ausearch -p 16541 --raw | aureport -f -i

På denne måde kan vi analysere filer individuelt. I det følgende link kan vi se alle de typer registreringer, der kan revideres af revisionssystemet i CentOS 7.

På denne måde ser vi, hvordan revisionssystemet i CentOS 7 kan hjælpe os med at styre og overvåge de hændelser, der opstår i vores computere og dermed sikre, at vi har et sikkert, stabilt og optimalt system.

Endelig efterlader vi dig en vejledning om det gratis WinAudit -værktøj til at udføre revisioner i Windows:

Revision med WinAudit

Du vil bidrage til udviklingen af ​​hjemmesiden, at dele siden med dine venner

wave wave wave wave wave

Populære Indlæg

wave
1
post-title
Download og opdater til den nye version macOS Sierra
2
post-title
Sådan aktiveres USB -fejlfinding på Samsung Galaxy A71 og A51
3
post-title
Sådan nulstilles Xiaomi Redmi Go Hard Reset
4
post-title
Sådan afslutter du Finder OS X El Capitan
5
post-title
▷ Sådan genstarter du Fortnite Xbox Series X eller Xbox Series S

Anbefalet

wave
- Sponsored Ad -

Redaktørens Valg

wave
- Sponsored Ad -