Slik bruker du revisjonssystemet i CentOS 7

Slik bruker du revisjonssystemet i CentOS 7

Når våre roller og funksjoner innebærer å administrere alle elementene i bedriftsinfrastrukturen, enten det er på nettverks- eller systemnivå, må vi ha nyttige verktøy for å overvåke, spore hendelser og sikre optimal ytelse av alle komponentene.

I dag skal vi gå gjennom hvordan du implementerer og bruker Linux -revisjonssystemet, et verktøy for mange ukjente. Vi vet at det er tredjepartsverktøy som lar oss administrere forskjellige parametere i systemet, men dette verktøyet går utover det vi trenger, og vi vil vurdere hvorfor.

For denne opplæringen vil vi analysere verktøyet i et miljø CentOS 7.

1. Kjenn Linux -revisjonssystemet


Med revisjonssystemet kan vi bli oppdatert om den viktige sikkerhetsinformasjonen i systemet vårt.

Revisjonssystemet gir oss rapporter om alle hendelsene som skjer i systemet basert på forhåndsdefinerte regler; Det er viktig å presisere at med revisjonssystemet legger vi ikke til sikkerhet for CentOS 7, men det lar oss analysere hvilke feil systemet har for å iverksette korrigerende tiltak.

Informasjon som er i stand til å analysere

  • Databaseendringer, for eksempel stiendringer / etc / passwd.
  • Revisjonssystemet gir dato, klokkeslett og type hendelse.
  • Forsøk på å importere eller eksportere informasjon i systemet.
  • Brukergodkjenningsmekanismer.
  • Alle modifikasjoner av revisjonsendringer og forsøk på å få tilgang til blant annet revisjonslogger.

2. Kontroller installasjonen av revisjonssystemet


Innen revisjonssystemet har vi to viktige ordninger å ta hensyn til:

1. Kjernen i revisjonssystemet tar alle hendelsene som behandles av brukeren og sender denne informasjonen til revisjonsdemonen.

2. Revisjonsdemonen tar denne informasjonen og oppretter postene.

Revisjonssystemet håndterer to pakker: revidere Y revisjons-libsDisse er installert som standard i CentOS 7, vi kan kontrollere installasjonen ved å bruke følgende kommando: 

 sudo yum list audit audit-libs

Hvis vi ikke har dem, kan vi installere revisjonssystemet ved å bruke følgende kommando: 

 sudo yum installere revisjon
Når de er installert må vi se følgende tekst: 
 Installerte pakker audit.x86_64 audit-libs.x86_64
La oss gå videre til systemkonfigurasjonen.

3. Konfigurer revisjonssystemet i CentOS 7


Når vi har bekreftet at vi har de nødvendige pakkene, skal vi endre konfigurasjonen av filen auditd.conf og det er i denne filen vi har muligheten til å konfigurere registre, hendelser og andre. For å få tilgang til denne filen bruker vi følgende kommando: 
 sudo nano /etc/audit/auditd.conf
Følgende vindu vises:

De viktigste parameterne

  • num_logs: Det gjør det mulig å definere antall logger som skal registreres i utstyret.
  • max_log_file: Ved å bruke denne parameteren kan vi definere maksimal størrelse på en logg.
  • mellomrom_ venstre: Vi kan angi mengden ledig diskplass.
  • disk_full_action: Vi kan definere en bestemt handling for når disken er full.

Som vi kan se kan vi justere forskjellige parametere. For eksempel, hvis vi vil at antallet logger skal være 12, sletter vi ganske enkelt standardverdien (5) og legger til den ønskede (12). Hvis vi ønsker å endre størrelsen på loggene til 20 endrer vi bare standardverdien (6) til den nødvendige (20).

Vi lagrer endringene ved hjelp av kombinasjonen Ctrl + O. og vi avslutter redaktøren ved hjelp av kombinasjonen Ctrl + X. Når endringene er behandlet, må vi starte revisjonstjenesten på nytt ved hjelp av kommandoen: 

 sudo service auditd start på nytt
MerkHvis vi vil redigere parameterne for reglene, må vi redigere filen audit.rules ved å bruke følgende kommando: 
 /etc/audit/rules.d/audit.rules

4. Forstå systemrevisjonslogger i CentOS 7


Som standard lagrer revisjonssystemet alle hendelser som skjedde i CentOS i banen /var/log/audit/audit.log og disse filene inneholder mye informasjon og kode som kanskje ikke er så lett for mange av oss å forstå, men Solvetic tar seg av å oppsummere disse filene litt.

For å demonstrere hvordan revisjonssystemet fungerer har vi opprettet en regel kalt sshconfigchange, og den kan opprettes ved hjelp av følgende kommando: 

 sudo auditctl -w / etc / ssh / sshd_config -p rwxa -k sshconfigchange
For å se regelen bruker vi følgende syntaks: 
 sudo cat / etc / ssh / sshd_config

Nå skal vi se loggen som er opprettet av systemrevisjonsverktøyet ved å skrive inn følgende: 

 sudo nano /var/log/audit/audit.log

Vi kommer til å stole på tre (3) vitale poster:

  • SYSCALL
  • CWD
  • STI

Disse filene er sammensatt som følger:

  • Stikkord: Henviser til navnet på prosessen (PATH, CWD, etc)
  • Tidsstempel: Viser til dato og klokkeslett (1469708505.235)
  • : Består av ID -en til den aktuelle hendelsen (153)

SYSCALL -arrangement
SYSCALL refererer til meldingen som genereres av et kjerneanrop fra revisjonssystemet, msg felt = revisjon (1469708505.235:153):

I tidsstempel og ID -felt vi ser at disse tre postene har samme verdi (1469708505.235: 153) som indikerer at disse tre postene ble lagret med den samme revisjonshendelsen.

De buefelt refererer til maskinens arkitektur, i dette tilfellet angir 40000003 at det er i386, hvis det var verdien c000003e ville det referert til en x86_64 -maskin.

De Syscall -feltet den nevner typen samtale som ble sendt til systemet. Verdien kan variere, i dette tilfellet er den 5. Vi kan bruke kommandoen sudo ausyscall 5 for å se statusen til tjenesten (Åpen).

Det er mer enn 300 verdier, hvis vi vil se hva verdiene betyr generelt kan vi bruke kommandoen: 

 sudo ausyscall -dump
Og vi vil se alle verdiene og deres betydning:

De Suksessfelt Den forteller oss om arrangementet var vellykket eller ikke, ja eller nei. Vi kan finne SYSCALL -hendelsen og rulle til venstre for å se andre rapporter inkludert.

De uid -feltet refererer til brukeren som startet revisjonstjenesten, i dette tilfellet er det uid = 0.

De kommandofelt det refererer til kommandoen som ble brukt til å vise meldingen, så vi ser at den vises som comm = "cat".

De exe -feltet Den angir banen til kommandoen som genererte revisjonshendelsen, vi kan se i dette eksemplet at den er exe = " / usr / bin / cat".

CWD -arrangement
I CWD-hendelsen kan vi legge merke til at det ikke er samme informasjon som i SYSCALL, her har vi katalogen som brukes til å lagre hendelsene, CWD- Current Working Directory, derfor ser vi verdien cwd = ” / home / solvetic”.

PATH -arrangement
I den siste hendelsen, PATH, ser vi at navnefelt som refererer til filen eller katalogen som ble brukt til å lage revisjonen, i dette tilfellet ser vi følgende: name = " / etc / ssh / sshd_config".

5. Søk i revisjonshendelser etter spesifikke hendelser


En av de mest interessante måtene vi kan søke etter en hendelse i CentOS 7 er ved å bruke syntaksen: 
 sudo ausearch -m Hendelsesnavn -start i dag -i
Denne kommandoen lar oss filtrere en bestemt hendelse og ikke måtte søke i hele hendelsesfilen siden den er omfattende. I dette tilfellet vil vi søke etter alle hendelsene knyttet til påloggingen, derfor skriver vi inn følgende: 
 sudo ausearch -m LOGGING -start i dag -i
Resultatet som oppnås vil være følgende:

Det er også mulig å filtrere søket etter hendelses -ID for dette. Vi bruker følgende syntaks: 

 sudo ausearch -en hendelse_ID
Deretter ser vi hvordan du genererer rapporter.

6. Generer revisjonsrapporter


En av måtene vi kan bedre håndtere hendelser på er med en detaljert rapport om hva som skjer i CentOS 7, og med revisjonssystemet kan vi generere rapporter som er enkle og klare å forstå for å hjelpe oss i vår ledelse. For dette bruker vi kommandoen: 
 sudo aureport -x -summar
Og vi vil se resultatet oppnådd:

Den første kolonnen som vi ser indikerer antall ganger kommandoen er utført, og den andre kolonnen angir hvilken kommando som ble utført. På samme måte kan vi generere en rapport med de mislykkede hendelsene ved å bruke kommandoen: 

 sudo aureport -mislyktes

Hvis vi vil generere en rapport med brukernavn og systemanrop, bruker vi kommandoen: 

 sudo aureport -f -i

7. Hvordan analysere prosesser individuelt


Det er mulig at vi noen ganger må analysere prosesser individuelt og ikke en hel katalog, for dette vil vi bruke autrace, dette verktøyet lar oss overvåke systemanrop til en bestemt prosess. Autorace -resultatene lagres i banen: 
 /var/log/audit/audit.log
For eksempel vi vil analysere banen / bin / datoen, for dette vil vi bruke følgende: 
 sudo autrace / bin / date

Vi ser at hendelsen med ID 16541 er opprettet. Nå går vi inn i følgende kommando for å se hendelsesoppsummeringen: 

 udo ausearch -p 16541 --raw | aureport -f -i

På denne måten kan vi analysere filer individuelt. I den følgende lenken kan vi se alle typer poster som kan revideres av revisjonssystemet i CentOS 7.

På denne måten ser vi hvordan revisjonssystemet i CentOS 7 kan hjelpe oss med å administrere og overvåke hendelsene som skjer i datamaskinene våre og dermed sikre at vi har et trygt, stabilt og optimalt system.

Til slutt gir vi deg en veiledning om det gratis WinAudit -verktøyet, for å utføre revisjoner i Windows:

Revisjon med WinAudit

Du vil bidra til utvikling av området, dele siden med vennene dine

wave wave wave wave wave

Populære Innlegg

wave
1
post-title
▷ Installer Kali Linux på Windows 10 ✔️ UTEN VIRTUAL MASKIN 2021
2
post-title
Påloggingsalternativer i Windows 10: Passord, PIN og bilde
3
post-title
▷ Slik tilbakestiller du passordet Root RHEL 8
4
post-title
Sikkerhetskopieringsverktøy Windows, Mac, Linux, iPhone og Android
5
post-title
Installer eller avinstaller Go Ubuntu 21.04, 20.04

Anbefalt

wave
- Sponsored Ad -

Redaksjonens

wave
- Sponsored Ad -