So verwenden Sie das Audit-System in CentOS 7

So verwenden Sie das Audit-System in CentOS 7 | Linux / Unix 2025
So verwenden Sie das Audit-System in CentOS 7 | Linux / Unix 2025

Wenn unsere Rollen und Funktionen die Verwaltung aller Elemente der Unternehmensinfrastruktur umfassen, sei es auf Netzwerk- oder Systemebene, benötigen wir nützliche Tools, um Ereignisse zu überwachen, zu verfolgen und die optimale Leistung aller Komponenten sicherzustellen. .

Heute werden wir überprüfen wie man das Linux-Audit-System implementiert und verwendet, ein Werkzeug für viele Unbekannte. Wir wissen, dass es Dienstprogramme von Drittanbietern gibt, die es uns ermöglichen, verschiedene Parameter innerhalb des Systems zu verwalten, aber dieses Dienstprogramm geht über das hinaus, was wir benötigen, und wir werden überprüfen, warum.

Für dieses Tutorial analysieren wir das Dienstprogramm in einer Umgebung CentOS 7.

1. Kennen Sie das Linux-Audit-System


Mit dem Auditsystem können wir über die wesentlichen Sicherheitsinformationen in unserem System informiert werden.

Das Auditsystem liefert uns Berichte über alle Ereignisse, die im System nach vordefinierten Regeln auftreten; Es ist wichtig, klarzustellen, dass wir mit dem Audit-System CentOS 7 keine Sicherheit hinzufügen, es uns jedoch ermöglicht, zu analysieren, welche Fehler das System hat, um Korrekturmaßnahmen zu ergreifen.

Auswertbare Informationen

  • Datenbankänderungen, zum Beispiel Pfadänderungen /etc/passwd.
  • Das Auditsystem liefert Datum, Uhrzeit und Art des Ereignisses.
  • Versucht, Informationen innerhalb des Systems zu importieren oder zu exportieren.
  • Mechanismen zur Benutzerauthentifizierung.
  • Alle Änderungen an Audit-Änderungen und Versuche, unter anderem auf Audit-Logs zuzugreifen.

2. Überprüfen Sie die Installation des Auditsystems


Innerhalb des Auditsystems müssen wir zwei wichtige Schemata berücksichtigen:

1. Der Kern des Audit-Systems nimmt alle vom Benutzer verarbeiteten Ereignisse und sendet diese Informationen an den Audit-Daemon.

2. Der Audit-Daemon nimmt diese Informationen und erstellt die Datensätze.

Das Auditsystem verarbeitet zwei Pakete: Prüfung Ja Audit-BibliothekenDiese werden standardmäßig in CentOS 7 installiert. Wir können ihre Installation mit dem folgenden Befehl überprüfen: 

 sudo yum list audit audit-libs

Falls sie nicht vorhanden sind, können wir das Auditing-System mit dem folgenden Befehl installieren: 

 sudo yum install audit
Nach der Installation müssen wir den folgenden Text sehen: 
 Installierte Pakete audit.x86_64 audit-libs.x86_64
Kommen wir zur Systemkonfiguration.

3. Konfigurieren Sie das Überwachungssystem in CentOS 7


Sobald wir bestätigt haben, dass wir über die erforderlichen Pakete verfügen, werden wir die Konfiguration der Datei ändern auditd.conf und in dieser Datei haben wir die Möglichkeit, die Register, Ereignisse und andere zu konfigurieren. Um auf diese Datei zuzugreifen, verwenden wir den folgenden Befehl: 
 sudo nano /etc/audit/auditd.conf
Das folgende Fenster wird angezeigt:

Wichtigste Parameter

  • num_logs: Ermöglicht die Definition der Anzahl der im Gerät aufzuzeichnenden Protokolle.
  • max_log_file: Mit diesem Parameter können wir die maximale Größe eines Protokolls definieren.
  • space_left: Wir können die Menge des freien Speicherplatzes einstellen.
  • disk_full_action: Wir können eine bestimmte Aktion definieren, wenn die Festplatte voll ist.

Wie wir sehen können wir verschiedene Parameter einstellen. Wenn die Anzahl der Protokolle beispielsweise 12 betragen soll, löschen wir einfach den Standardwert (5) und fügen den gewünschten hinzu (12). Wenn wir die Größe der Protokolle auf 20 ändern möchten, ändern wir einfach den Standardwert (6) auf den erforderlichen (20).

Wir speichern die Änderungen mit der Kombination Strg + Aus und wir verlassen den Editor mit der Kombination Strg + X. Nachdem die Änderungen verarbeitet wurden, müssen wir den Audit-Dienst mit dem Befehl neu starten: 

 sudo service auditd neustart
NotizWenn wir die Parameter der Regeln bearbeiten möchten, müssen wir die Datei audit.rules mit dem folgenden Befehl bearbeiten: 
 /etc/audit/rules.d/audit.rules

4. Verstehen Sie System-Audit-Logs in CentOS 7


Standardmäßig speichert das Audit-System alle Ereignisse, die in CentOS aufgetreten sind, im Pfad /var/log/audit/audit.log und diese Dateien enthalten viele Informationen und Code, die für viele von uns vielleicht nicht so einfach zu verstehen sind, aber Solvetic kümmert sich darum, diese Dateien ein wenig zusammenzufassen.

Um zu demonstrieren, wie das Auditing-System funktioniert, haben wir eine Regel namens sshconfigchange erstellt, die mit dem folgenden Befehl erstellt werden kann: 

 sudo auditctl -w / etc / ssh / sshd_config -p rwxa -k sshconfigchange
Um die Regel zu sehen, verwenden wir die folgende Syntax: 
 sudo cat / etc / ssh / sshd_config

Jetzt sehen wir das vom System-Audit-Tool erstellte Protokoll, indem wir Folgendes eingeben: 

 sudo nano /var/log/audit/audit.log

Wir werden uns auf drei (3) wichtige Aufzeichnungen verlassen:

  • SYSCALL
  • CWD
  • WEG

Diese Dateien setzen sich wie folgt zusammen:

  • Stichwort: Bezieht sich auf den Namen des Prozesses (PFAD, CWD usw.)
  • Zeitstempel: Bezieht sich auf Datum und Uhrzeit (1469708505.235)
  • gehen: Besteht aus der ID des betreffenden Ereignisses (153)

SYSCALL-Ereignis
SYSCALL bezieht sich auf die Nachricht, die durch einen Kernel-Aufruf vom Auditing-System generiert wird, msg-Feld = audit (1469708505.235:153):

Im Zeitstempel- und ID-Feld Wir sehen, dass diese drei Datensätze denselben Wert haben (1469708505.235: 153), was darauf hinweist, dass diese drei Datensätze mit demselben Audit-Ereignis gespeichert wurden.

Das Bogenfeld bezieht sich auf die Architektur der Maschine, in diesem Fall bedeutet 40000003, dass es sich um i386 handelt, wenn es der Wert c000003e wäre, würde es sich auf eine x86_64-Maschine beziehen.

Das Syscall-Feld es erwähnt die Art des Anrufs, der an das System gesendet wurde. Der Wert kann variieren, in diesem Fall ist es 5. Wir können den Befehl sudo ausyscall 5 verwenden, um den Status des Dienstes (Offen) anzuzeigen.

Es gibt mehr als 300 Werte, wenn wir sehen möchten, was die Werte im Allgemeinen bedeuten, können wir den Befehl verwenden: 

 sudo ausyscall -dump
Und wir werden alle Werte und ihre Bedeutung sehen:

Das Erfolgsfeld Es sagt uns, ob der Ereignisaufruf erfolgreich war oder nicht, ja oder nein. Wir können das SYSCALL-Ereignis lokalisieren und nach links scrollen, um andere enthaltene Berichte anzuzeigen.

Das uid-Feld bezieht sich auf den Benutzer, der den Prüfdienst gestartet hat, in diesem Fall ist es uid = 0.

Das Komm-Feld es bezieht sich auf den Befehl, der verwendet wurde, um die Nachricht anzuzeigen, so dass wir sehen, dass sie als comm = "cat" angezeigt wird.

Das exe-Feld Es gibt den Pfad zu dem Befehl an, der das Audit-Ereignis generiert hat. Wir können in diesem Beispiel sehen, dass es sich um exe = "/usr / bin / cat" handelt.

CWD-Ereignis
Im CWD-Ereignis können wir feststellen, dass es nicht die gleichen Informationen wie in SYSCALL gibt, hier haben wir das Verzeichnis, das zum Speichern der Ereignisse verwendet wird, CWD-Current Working Directory, daher sehen wir den Wert cwd = ”/home /solvtic”.

PATH-Ereignis
Im letzten Ereignis, PATH, sehen wir, dass die Namensfeld was sich auf die Datei oder das Verzeichnis bezieht, die zum Erstellen des Audits verwendet wurden. In diesem Fall sehen wir Folgendes: name = "/etc / ssh / sshd_config".

5. Audit-Ereignisse nach bestimmten Ereignissen suchen


Eine der interessantesten Möglichkeiten, in CentOS 7 nach einem Ereignis zu suchen, ist die Verwendung der Syntax: 
 sudo aussearch -m Event_name --starte heute -i
Mit diesem Befehl können wir ein bestimmtes Ereignis filtern und müssen nicht die gesamte Ereignisdatei durchsuchen, da sie sehr umfangreich ist. In diesem Fall suchen wir nach allen mit der Anmeldung verbundenen Ereignissen und geben daher Folgendes ein: 
 sudo aussearch -m LOGIN --heute starten -i
Das erhaltene Ergebnis wird folgendes sein:

Es ist auch möglich, die Suche nach Ereignis-ID zu filtern, dafür verwenden wir die folgende Syntax: 

 sudo aussearch -a Event_ID
Als nächstes werden wir sehen, wie Berichte erstellt werden.

6. Auditberichte erstellen


Eine Möglichkeit, Ereignisse besser zu verwalten, besteht darin, einen detaillierten Bericht darüber zu erstellen, was in CentOS 7 passiert, und mit dem Audit-System können wir einfache und verständliche Berichte erstellen, die uns bei unserem Management helfen. Dazu verwenden wir den Befehl: 
 sudo aureport -x -zusammenfassung
Und wir werden das erhaltene Ergebnis sehen:

Die erste Spalte, die wir sehen, gibt an, wie oft der Befehl ausgeführt wurde, und die zweite Spalte zeigt an, welcher Befehl ausgeführt wurde. Auf die gleiche Weise können wir mit dem Befehl einen Bericht mit den fehlgeschlagenen Ereignissen erstellen: 

 sudo aureport --failed

Wenn wir einen Bericht mit den Benutzernamen und den Systemaufrufen erstellen möchten, verwenden wir den Befehl: 

 sudo aureport -f -i

7. Prozesse individuell analysieren


Es ist möglich, dass wir manchmal Prozesse einzeln und nicht ein ganzes Verzeichnis analysieren müssen, dafür verwenden wir autrace, dieses Tool ermöglicht es uns, Systemaufrufe an einen bestimmten Prozess zu überwachen. Die Autrace-Ergebnisse werden im Pfad gespeichert: 
 /var/log/audit/audit.log
Zum Beispiel wir analysieren den Pfad / Behälter / Datum, dafür verwenden wir Folgendes: 
 sudo autrace / bin / date

Wir sehen, dass das Ereignis mit der ID 16541 erstellt wurde und geben nun den folgenden Befehl ein, um die Ereigniszusammenfassung anzuzeigen: 

 udo aussearch -p 16541 --raw | Aureport -f -i

Auf diese Weise können wir Dateien individuell analysieren. Unter dem folgenden Link können wir alle Arten von Datensätzen sehen, die vom Auditsystem in CentOS 7 geprüft werden können.

Auf diese Weise sehen wir, wie das Audit-System in CentOS 7 uns helfen kann, die Ereignisse, die in unseren Computern auftreten, zu verwalten und zu überwachen und so sicherzustellen, dass wir ein sicheres, stabiles und optimales System haben.

Schließlich hinterlassen wir Ihnen ein Tutorial zum kostenlosen WinAudit-Tool, um Audits in Windows durchzuführen:

Audit mit WinAudit

wave wave wave wave wave

Beliebte Beiträge

wave
1
post-title
Tipps zum Erstellen von Video-Tutorials auf YouTube
2
post-title
Google Pixel vs. iPhone 7
3
post-title
Alcatel OneTouch Idol 3
4
post-title
So ändern Sie den SSH-Port 22 in Ubuntu, Debian, CentOS
5
post-title
Cron und Crontab - Verwalten Sie die Zeit unter Linux

Empfohlen

wave
- Sponsored Ad -

Tipp Der Redaktion

wave
- Sponsored Ad -