Tutorial do Auditd Linux

Salvatore Watsica
Tutorial do Auditd Linux

O que é Auditd?

O Auditd é o componente do Usuários Space para o sistema de auditoria Linux. Auditd é curto para daemon de auditoria do Linux. No Linux, o Daemon é referido como serviço em execução em segundo plano e há um 'd' anexado no final do serviço de aplicativo, enquanto ele é executado em segundo plano. O trabalho do Auditd é coletar e gravar arquivos de log de auditoria no disco como um serviço de fundo

Por que usar o Auditd?

Este serviço Linux fornece ao usuário um aspecto de auditoria de segurança no Linux. Os logs coletados e salvos pela Auditd são atividades diferentes realizadas no ambiente Linux pelo usuário e se houver um caso em que qualquer usuário deseja perguntar o que outros usuários têm feito em ambiente corporativo ou de múltiplos usuários, esse usuário pode Obtenha acesso a esse tipo de informação de uma forma simplificada e minimizada, conhecida como toras. Além disso, se houver uma atividade incomum no sistema de um usuário, digamos que seu sistema tenha sido comprometido, o usuário pode rastrear e ver como seu sistema foi comprometido, e isso também pode ajudar em muitos casos para responder incidentes.

Noções básicas de auditoria

O usuário pode pesquisar através dos logs salvos por Auditd usando AuMearch e aureport Serviços de utilidade pública. As regras de auditoria estão no diretório, /etc/auditoria/auditoria.regras que pode ser lido por Auditctl no arranque. Além disso, essas regras também podem ser modificadas usando Auditctl. Existe um arquivo de configuração do Auditd disponível em /etc/auditor/auditd.conf.

Instalação

Nas distribuições Linux baseadas em Debian, o comando a seguir pode ser usado para instalar o Auditd, se ainda não estiver instalado:

ubuntu@ubuntu: ~ $ sudo apt-get install auditd audispd-plugins

Comando básico para Auditd:

Para iniciar o Auditd:

$ service auditd start

Para parar o Auditd:

$ service auditd parada

Para reiniciar o Auditd:

$ service auditd reinicialização

Para buscar o status Auditd:

$ status Auditd de serviço

Para reiniciar condicional Auditd:

$ service auditd condrestart

Para recarregar o serviço Auditd:

$ service auditd recarregar

Para rotação do Auditd Logs:

$ service auditd girate

Para verificar a saída do Auditd Configurações:

$ chkconfig -list auditd

Quais informações podem ser registradas em logs?

  • Informações sobre o registro de data e hora, como tipo e resultado de um evento.
  • Evento acionado junto com o usuário que o desencadeou.
  • Alterações nos arquivos de configuração de auditoria.
  • Tentativas de acesso para arquivos de log de auditoria.
  • Todos os eventos de autenticação com usuários autenticados, como SSH, etc.
  • Alterações em arquivos sensíveis ou bancos de dados, como senhas em /etc /passwd.
  • Informações de entrada e saída de e para o sistema.

Outros utilitários relacionados à auditoria:

Alguns outros utilitários importantes relacionados à auditoria são fornecidos abaixo. Discutiremos apenas alguns deles em detalhes, que são comumente usados.

Auditctl:

Este utilitário é usado para obter o status de comportamento da auditoria, definir, alterar ou atualizar configurações de auditoria. Sintaxe para o uso de auditoria é:

Auditctl [Opções]

A seguir estão as opções ou sinalizadores que são usados ​​principalmente:

-c

Para adicionar um relógio a um arquivo, o que significa que a auditoria ficará de olho nesse arquivo e adicionar atividades do usuário relacionadas a esse arquivo a logs.

-k

Para inserir uma tecla ou nome de filtro na configuração especificada.

-p

Para adicionar um filtro com base na permissão de arquivos.

-S

Para suprimir a captura de log para uma configuração.

-a

Para obter todos os resultados para a entrada especificada desta opção.

Por exemplo, para adicionar um arquivo de relógio /etc /sombra com palavra-chave filtrada 'shadow-chave' e com permissões como 'rwxa':

$ auditctl -w /etc /Shadow -k Shadow -File -p Rwxa

aureport:

Este utilitário é usado para gerar relatórios de resumo do log de auditoria a partir dos logs gravados. A entrada do relatório também pode ser dados de logs brutos que são alimentados ao Aureport usando stdin. A sintaxe básica para o uso da Aureport é:

Aureport [Opções]

Algumas das opções básicas e mais comumente usadas são as seguintes:

-k

Para gerar um relatório com base nas chaves especificadas nas regras ou configurações de auditoria.

-eu

Para exibir informações textuais em vez de informações numéricas como ID, como exibir nome de usuário em vez de UserID.

-Au

Para gerar relatório das tentativas de autenticação para todos os usuários.

-eu

Para gerar relatório exibindo as informações de login dos usuários.

AuMearch:

Este utilitário é uma ferramenta de pesquisa para logs ou eventos de auditoria. Os resultados da pesquisa são exibidos em troca, com base em diferentes consultas de pesquisa. Como a Aureport, essas consultas de pesquisa também podem ser dados de logs brutos que são alimentados com ausearch usando stdin. Por padrão, a ausearch consulta os toros colocados em /var/log/auditoria/auditoria.registro, que pode ser exibido diretamente ou acessado como comando de digitação como abaixo:

$ cat/var/log/auditoria/auditoria.registro

A sintaxe simples para usar ausearch é:

AuMearch [Opções]

Além disso, existem certos sinalizadores que podem ser usados ​​com o comando AuSearch, algumas bandeiras comumente usadas são:

-p

Esta bandeira é usada para inserir IDs de processo para pesquisar consultas por toras, e.g., AuMearch -P 6171.

-m

Esta bandeira é usada para procurar seqüências específicas em arquivos de log, e.g., ausearch -m user_login.

-Sv

Esta opção são valores de sucesso se o usuário estiver consultando o valor de sucesso para parte específica de logs. Esta bandeira é frequentemente usada com -m bandeira como ausearch -m user_login -sv no.

-ua

Esta opção é usada para inserir um filtro de nome de usuário para a consulta de pesquisa, e.g., raiz ausearch -ua.

-ts

Esta opção é usada para inserir um filtro de registro de data e hora para a consulta de pesquisa, e.g., AuMearch -Ts ontem.

Auditspd:

Este utilitário é usado como daemon para multiplexação de eventos.

Autrace:

Este utilitário é usado para rastrear binários usando componentes de auditoria.

AULAST:

Este utilitário mostra as atividades mais recentes gravadas em logs.

AULASTLOG:

Este utilitário mostra as informações mais recentes de login de todos os usuários ou um determinado usuário.

AusysCall:

Este utilitário permite o mapeamento de nomes e números de chamadas do sistema.

Auvirt:

Este utilitário mostra as informações de auditoria especificamente para as máquinas virtuais.

Final

Embora a auditoria do Linux seja um tópico relativamente avançado para usuários não técnicos do Linux, mas deixar os usuários decidirem por si mesmos, é o que o Linux oferece. Ao contrário de outros sistemas operacionais, os sistemas operacionais Linux tendem a manter seus usuários no controle de seu próprio ambiente. Também sendo um usuário iniciante ou não técnico, deve-se sempre aprender para o próprio crescimento. Espero que este artigo tenha ajudado você a aprender algo novo e útil.

php
O que é uma interface no PHP orientado a objetos
Interfaces definem um conjunto padrão de ações que várias classes podem usar para construir código q...
Orlando Green
Powershell
O que é um add-Computer em PowerShell?
O cmdlet add-computer adiciona o computador local a um domínio. Se um computador for adicionado a um...
Benny Hilll DDS
Powershell
Como usar as variáveis ​​no PowerShell
Variáveis ​​são usadas para armazenar diferentes tipos de valores, como seqüências ou inteiros. Os v...
Joey Bartoletti
Pitão
Método estático de chamada Python dentro da aula
Tommie Konopelski
Pitão
Lote de barra horizontal marítima
Shaun Bogan
html
Como usar a propriedade CSS Flex-Grow?
Ed Treutel IV
JavaScript
Como funciona o OnClick Event em JavaScript
Ed Treutel IV
html
Como usar a propriedade Mouseevent Pagey?
Evan Mueller
Banco de dados Oracle
Qual é o objetivo do Oracle Cerner?
Benny Hilll DDS
Powershell
Como usar o cmdlet Write-Output no PowerShell?
Jackie Blanda
Docker
Qual registro do Docker é definido como o padrão?
Ed Treutel IV
Golang
Como usar a palavra -chave adiente em Golang
Evan Mueller
Golang
O que são constantes em Golang?
Shaun Bogan