Tutorial do Auditd Linux

Salvatore Watsica
Tutorial do Auditd Linux

O que é Auditd?

O Auditd é o componente do Usuários Space para o sistema de auditoria Linux. Auditd é curto para daemon de auditoria do Linux. No Linux, o Daemon é referido como serviço em execução em segundo plano e há um 'd' anexado no final do serviço de aplicativo, enquanto ele é executado em segundo plano. O trabalho do Auditd é coletar e gravar arquivos de log de auditoria no disco como um serviço de fundo

Por que usar o Auditd?

Este serviço Linux fornece ao usuário um aspecto de auditoria de segurança no Linux. Os logs coletados e salvos pela Auditd são atividades diferentes realizadas no ambiente Linux pelo usuário e se houver um caso em que qualquer usuário deseja perguntar o que outros usuários têm feito em ambiente corporativo ou de múltiplos usuários, esse usuário pode Obtenha acesso a esse tipo de informação de uma forma simplificada e minimizada, conhecida como toras. Além disso, se houver uma atividade incomum no sistema de um usuário, digamos que seu sistema tenha sido comprometido, o usuário pode rastrear e ver como seu sistema foi comprometido, e isso também pode ajudar em muitos casos para responder incidentes.

Noções básicas de auditoria

O usuário pode pesquisar através dos logs salvos por Auditd usando AuMearch e aureport Serviços de utilidade pública. As regras de auditoria estão no diretório, /etc/auditoria/auditoria.regras que pode ser lido por Auditctl no arranque. Além disso, essas regras também podem ser modificadas usando Auditctl. Existe um arquivo de configuração do Auditd disponível em /etc/auditor/auditd.conf.

Instalação

Nas distribuições Linux baseadas em Debian, o comando a seguir pode ser usado para instalar o Auditd, se ainda não estiver instalado:

ubuntu@ubuntu: ~ $ sudo apt-get install auditd audispd-plugins

Comando básico para Auditd:

Para iniciar o Auditd:

$ service auditd start

Para parar o Auditd:

$ service auditd parada

Para reiniciar o Auditd:

$ service auditd reinicialização

Para buscar o status Auditd:

$ status Auditd de serviço

Para reiniciar condicional Auditd:

$ service auditd condrestart

Para recarregar o serviço Auditd:

$ service auditd recarregar

Para rotação do Auditd Logs:

$ service auditd girate

Para verificar a saída do Auditd Configurações:

$ chkconfig -list auditd

Quais informações podem ser registradas em logs?

  • Informações sobre o registro de data e hora, como tipo e resultado de um evento.
  • Evento acionado junto com o usuário que o desencadeou.
  • Alterações nos arquivos de configuração de auditoria.
  • Tentativas de acesso para arquivos de log de auditoria.
  • Todos os eventos de autenticação com usuários autenticados, como SSH, etc.
  • Alterações em arquivos sensíveis ou bancos de dados, como senhas em /etc /passwd.
  • Informações de entrada e saída de e para o sistema.

Outros utilitários relacionados à auditoria:

Alguns outros utilitários importantes relacionados à auditoria são fornecidos abaixo. Discutiremos apenas alguns deles em detalhes, que são comumente usados.

Auditctl:

Este utilitário é usado para obter o status de comportamento da auditoria, definir, alterar ou atualizar configurações de auditoria. Sintaxe para o uso de auditoria é:

Auditctl [Opções]

A seguir estão as opções ou sinalizadores que são usados ​​principalmente:

-c

Para adicionar um relógio a um arquivo, o que significa que a auditoria ficará de olho nesse arquivo e adicionar atividades do usuário relacionadas a esse arquivo a logs.

-k

Para inserir uma tecla ou nome de filtro na configuração especificada.

-p

Para adicionar um filtro com base na permissão de arquivos.

-S

Para suprimir a captura de log para uma configuração.

-a

Para obter todos os resultados para a entrada especificada desta opção.

Por exemplo, para adicionar um arquivo de relógio /etc /sombra com palavra-chave filtrada 'shadow-chave' e com permissões como 'rwxa':

$ auditctl -w /etc /Shadow -k Shadow -File -p Rwxa

aureport:

Este utilitário é usado para gerar relatórios de resumo do log de auditoria a partir dos logs gravados. A entrada do relatório também pode ser dados de logs brutos que são alimentados ao Aureport usando stdin. A sintaxe básica para o uso da Aureport é:

Aureport [Opções]

Algumas das opções básicas e mais comumente usadas são as seguintes:

-k

Para gerar um relatório com base nas chaves especificadas nas regras ou configurações de auditoria.

-eu

Para exibir informações textuais em vez de informações numéricas como ID, como exibir nome de usuário em vez de UserID.

-Au

Para gerar relatório das tentativas de autenticação para todos os usuários.

-eu

Para gerar relatório exibindo as informações de login dos usuários.

AuMearch:

Este utilitário é uma ferramenta de pesquisa para logs ou eventos de auditoria. Os resultados da pesquisa são exibidos em troca, com base em diferentes consultas de pesquisa. Como a Aureport, essas consultas de pesquisa também podem ser dados de logs brutos que são alimentados com ausearch usando stdin. Por padrão, a ausearch consulta os toros colocados em /var/log/auditoria/auditoria.registro, que pode ser exibido diretamente ou acessado como comando de digitação como abaixo:

$ cat/var/log/auditoria/auditoria.registro

A sintaxe simples para usar ausearch é:

AuMearch [Opções]

Além disso, existem certos sinalizadores que podem ser usados ​​com o comando AuSearch, algumas bandeiras comumente usadas são:

-p

Esta bandeira é usada para inserir IDs de processo para pesquisar consultas por toras, e.g., AuMearch -P 6171.

-m

Esta bandeira é usada para procurar seqüências específicas em arquivos de log, e.g., ausearch -m user_login.

-Sv

Esta opção são valores de sucesso se o usuário estiver consultando o valor de sucesso para parte específica de logs. Esta bandeira é frequentemente usada com -m bandeira como ausearch -m user_login -sv no.

-ua

Esta opção é usada para inserir um filtro de nome de usuário para a consulta de pesquisa, e.g., raiz ausearch -ua.

-ts

Esta opção é usada para inserir um filtro de registro de data e hora para a consulta de pesquisa, e.g., AuMearch -Ts ontem.

Auditspd:

Este utilitário é usado como daemon para multiplexação de eventos.

Autrace:

Este utilitário é usado para rastrear binários usando componentes de auditoria.

AULAST:

Este utilitário mostra as atividades mais recentes gravadas em logs.

AULASTLOG:

Este utilitário mostra as informações mais recentes de login de todos os usuários ou um determinado usuário.

AusysCall:

Este utilitário permite o mapeamento de nomes e números de chamadas do sistema.

Auvirt:

Este utilitário mostra as informações de auditoria especificamente para as máquinas virtuais.

Final

Embora a auditoria do Linux seja um tópico relativamente avançado para usuários não técnicos do Linux, mas deixar os usuários decidirem por si mesmos, é o que o Linux oferece. Ao contrário de outros sistemas operacionais, os sistemas operacionais Linux tendem a manter seus usuários no controle de seu próprio ambiente. Também sendo um usuário iniciante ou não técnico, deve-se sempre aprender para o próprio crescimento. Espero que este artigo tenha ajudado você a aprender algo novo e útil.

C nítido
O que são variáveis ​​constantes em C#
Uma variável constante é um tipo de variável cujo valor é definido durante sua definição e não pode ...
Marlon Bernhard
C Programação
Qual é a diferença entre = e == operadores na programação C?
O = operador é utilizado para atribuir um valor a uma variável, enquanto o operador == compara duas ...
Marlon Bernhard
Powershell
Como usar o comando sono-sono em PowerShell?
O cmdlet Songa de inicial....
Bryant Rowe Sr.
Pitão
Pandas Read_CSV multiprocessamento
Carl Hintz DDS
Pitão
Seaorn TsPlot
Pedro Macejkovic
php
Como usar o Array_Reverse Função no PHP
Bryant Rowe Sr.
Banco de dados Oracle
O que é o Oracle SQL*Plus e para que é usado?
Marlon Bernhard
Oracle Linux
Quais são as diferenças entre o Oracle Linux e o Ubuntu Linux?
Marlon Bernhard
html
Como criar pontos de bala HTML?
Marlon Bernhard
Pitão
O que é B String em Python?
Evan Mueller
php
Como anexar a uma matriz no PHP?
Carl Hintz DDS
C Programação
Livros e guias para a linguagem C
Tommie Konopelski
C nítido
Como usar uma palavra -chave longa em C#
Ed Treutel IV