Kā izmantot revīzijas sistēmu CentOS 7

Kā izmantot revīzijas sistēmu CentOS 7

Kad mūsu lomas un funkcijas ietver visu korporatīvās infrastruktūras elementu pārvaldību tīkla vai sistēmas līmenī, mums ir jābūt noderīgiem rīkiem, lai uzraudzītu, izsekotu notikumus un nodrošinātu visu tās sastāvdaļu optimālu darbību.

Šodien mēs pārskatīsim kā ieviest un izmantot Linux audita sistēmu, instruments daudziem nezināmiem. Mēs zinām, ka ir trešo pušu komunālie pakalpojumi, kas ļauj mums sistēmā pārvaldīt dažādus parametrus, taču šī utilīta pārsniedz vajadzīgo, un mēs pārskatīsim, kāpēc.

Šajā apmācībā mēs analizēsim lietderību vidē CentOS 7.

1. Ziniet Linux audita sistēmu


Izmantojot audita sistēmu, mēs varam tikt atjaunināti attiecībā uz būtisko drošības informāciju mūsu sistēmā.

Revīzijas sistēma sniedz mums ziņojumus par visiem notikumiem, kas notiek sistēmā, pamatojoties uz iepriekš noteiktiem noteikumiem; Ir svarīgi precizēt, ka ar revīzijas sistēmu mēs nepievienojam CentOS 7 drošību, bet tā ļauj mums analizēt, kādas nepilnības sistēmai ir jāveic, lai to novērstu.

Informācija, kas spēj analizēt

  • Datu bāzes izmaiņas, piemēram, ceļa izmaiņas / etc / passwd.
  • Revīzijas sistēma nodrošina notikuma datumu, laiku un veidu.
  • Mēģinājumi importēt vai eksportēt informāciju sistēmā.
  • Lietotāju autentifikācijas mehānismi.
  • Visas izmaiņas audita izmaiņās un mēģinājumi piekļūt revīzijas žurnāliem, cita starpā.

2. Pārbaudiet audita sistēmas uzstādīšanu


Revīzijas sistēmā mums ir jāņem vērā divas svarīgas shēmas:

1. Audita sistēmas kodols uzņem visus lietotāja apstrādātos notikumus un nosūta šo informāciju revīzijas dēmonam.

2. Revīzijas dēmons ņem šo informāciju un izveido ierakstus.

Revīzijas sistēma apstrādā divas paketes: audits Y revīzijaTie pēc noklusējuma ir instalēti CentOS 7, mēs varam pārbaudīt to instalēšanu, izmantojot šādu komandu: 

 sudo yum list audits audit-libs

Ja to nav, mēs varam instalēt revīzijas sistēmu, izmantojot šādu komandu: 

 sudo yum instalēšanas audits
Kad tie ir instalēti, mums ir jāredz šāds teksts: 
 Instalētās pakotnes audit.x86_64 audit-libs.x86_64
Pāriesim pie sistēmas konfigurācijas.

3. Konfigurējiet revīzijas sistēmu CentOS 7


Kad būsim apstiprinājuši, ka mums ir nepieciešamās paketes, mēs mainīsim faila konfigurāciju auditd.conf un tieši šajā failā mums ir iespēja konfigurēt reģistrus, notikumus un citus. Lai piekļūtu šim failam, mēs izmantosim šādu komandu: 
 sudo nano /etc/audit/auditd.conf
Tiks parādīts šāds logs:

Svarīgākie parametri

  • žurnālu skaits: Tas ļauj noteikt iekārtā reģistrējamo apaļkoku skaitu.
  • max_log_file: Izmantojot šo parametru, mēs varam noteikt maksimālo žurnāla izmēru.
  • atstarpe_pa kreisi: Mēs varam iestatīt brīvas vietas apjomu diskā.
  • disk_full_action: Mēs varam definēt noteiktu darbību, kad disks ir pilns.

Kā redzam, mēs varam pielāgot dažādus parametrus. Piemēram, ja vēlamies, lai žurnālu skaits būtu 12, mēs vienkārši izdzēšam noklusējuma vērtību (5) un pievienojam vēlamo (12). Ja mēs vēlamies mainīt žurnālu lielumu uz 20, mēs vienkārši nomainām noklusējuma vērtību (6) uz nepieciešamo (20).

Mēs saglabājam izmaiņas, izmantojot kombināciju Ctrl + O un mēs izejam no redaktora, izmantojot kombināciju Ctrl + X. Kad izmaiņas ir apstrādātas, mums ir jārestartē audita pakalpojums, izmantojot komandu: 

 sudo pakalpojuma audd restartēšana
PiezīmeJa mēs vēlamies rediģēt noteikumu parametrus, mums ir jārediģē fails audit.rules, izmantojot šādu komandu: 
 /etc/audit/rules.d/audit.rules

4. Izprotiet sistēmas audita žurnālus CentOS 7


Pēc noklusējuma audita sistēma saglabā visus notikumus, kas notikuši CentOS ceļā /var/log/audit/audit.log un šajos failos ir daudz informācijas un koda, ko daudziem no mums varbūt nav tik viegli saprast, bet Solvetic rūpējas par šo failu apkopošanu.

Lai parādītu, kā darbojas revīzijas sistēma, mēs esam izveidojuši noteikumu ar nosaukumu sshconfigchange, un to var izveidot, izmantojot šādu komandu: 

 sudo auditctl -w / etc / ssh / sshd_config -p rwxa -k sshconfigchange
Lai redzētu noteikumu, mēs izmantojam šādu sintaksi: 
 sudo kaķis / etc / ssh / sshd_config

Tagad mēs redzēsim sistēmas audita rīka izveidoto žurnālu, ievadot šādu informāciju: 

 sudo nano /var/log/audit/audit.log

Mēs paļausimies uz trim (3) svarīgiem ierakstiem:

  • SYSCALL
  • CWD
  • PATH

Šie faili ir veidoti šādi:

  • Atslēgvārds: Attiecas uz procesa nosaukumu (PATH, CWD utt.)
  • Laika zīmogs: Attiecas uz datumu un laiku (1469708505.235)
  • Iet: Sastāv no attiecīgā notikuma ID (153)

Pasākums SYSCALL
SYSCALL attiecas uz ziņojumu, ko ģenerē kodola zvans no revīzijas sistēmas, ziņojuma lauks = audits (1469708505.235:153):

Iekš laika zīmogs un ID lauks mēs redzam, ka šiem trim ierakstiem ir vienāda vērtība (1469708505.235: 153), kas norāda, ka šie trīs ieraksti tika glabāti ar vienu un to pašu revīzijas notikumu.

arkas lauks attiecas uz mašīnas arhitektūru, šajā gadījumā 40000003 norāda, ka tā ir i386, ja tā būtu vērtība c000003e, tā atsauktos uz mašīnu x86_64.

Syscall lauks tajā ir norādīts zvana veids, kas tika nosūtīts uz sistēmu. Vērtība var atšķirties, šajā gadījumā tā ir 5. Mēs varam izmantot komandu sudo ausyscall 5, lai redzētu pakalpojuma statusu (Open).

Ir vairāk nekā 300 vērtību, ja mēs vēlamies redzēt, ko vērtības kopumā nozīmē, mēs varam izmantot komandu: 

 sudo ausyscall -izgāztuve
Un mēs redzēsim visas vērtības un to nozīmi:

Panākumu lauks Tas mums norāda, vai pasākuma zvans bija veiksmīgs vai nē, jā vai nē. Mēs varam atrast SYSCALL notikumu un ritināt pa kreisi, lai redzētu citus iekļautos pārskatus.

uid lauks attiecas uz lietotāju, kurš uzsāka revīzijas pakalpojumu, šajā gadījumā tas ir uid = 0.

comm jomā tas attiecas uz komandu, kas tika izmantota ziņojuma parādīšanai, tāpēc mēs redzam, ka tā parādās kā comm = "cat".

exe lauks Tas norāda ceļu uz komandu, kas ģenerēja audita notikumu. Šajā piemērā mēs redzam, ka tas ir exe = " / usr / bin / cat".

CWD pasākums
CWD notikumā mēs varam pamanīt, ka nav tādas pašas informācijas kā SYSCALL, šeit mums ir notikumu saglabāšanai izmantotais direktorijs CWD-Current Working Directory, tāpēc mēs redzam vērtību cwd = ” / home / solvetic”.

PATH pasākums
Pēdējā gadījumā, PATH, mēs redzam, ka nosaukuma lauks kas attiecas uz failu vai direktoriju, kas tika izmantots, lai izveidotu auditu, šajā gadījumā mēs redzam sekojošo: name = " / etc / ssh / sshd_config".

5. Meklējiet revīzijas notikumos konkrētus notikumus


Viens no interesantākajiem veidiem, kā mēs varam meklēt notikumu programmā CentOS 7, ir sintakses izmantošana: 
 sudo ausearch -m Notikuma_nosaukums -sākt šodien -i
Šī komanda ļauj filtrēt noteiktu notikumu un nav jāmeklē viss notikuma fails, jo tas ir plašs. Šajā gadījumā mēs meklēsim visus notikumus, kas saistīti ar pieteikšanos, tāpēc ievadīsim šādu informāciju: 
 sudo ausearch -m LOGIN -sākt šodien -i
Iegūtais rezultāts būs šāds:

Šim nolūkam ir iespējams arī filtrēt meklēšanu pēc notikuma ID, mēs izmantosim šādu sintaksi: 

 sudo ausearch -notikuma ID
Tālāk mēs redzēsim, kā izveidot pārskatus.

6. Ģenerēt revīzijas ziņojumus


Viens no veidiem, kā mēs varam labāk pārvaldīt notikumus, ir detalizēts pārskats par to, kas notiek programmā CentOS 7, un ar revīzijas sistēmu mēs varam izveidot vienkāršus un skaidri saprotamus pārskatus, lai palīdzētu mums mūsu pārvaldībā. Šim nolūkam mēs izmantosim komandu: 
 sudo aureport -x -kopsavilkums
Un mēs redzēsim iegūto rezultātu:

Pirmā kolonna, ko mēs redzam, norāda, cik reizes komanda ir izpildīta, un otrā sleja norāda, kura komanda tika izpildīta. Tādā pašā veidā mēs varam izveidot pārskatu ar neveiksmīgiem notikumiem, izmantojot komandu: 

 sudo aureport -neizdevās

Ja mēs vēlamies izveidot pārskatu ar lietotāju vārdiem un sistēmas zvaniem, mēs izmantosim komandu: 

 sudo aureport -f -i

7. Kā individuāli analizēt procesus


Iespējams, ka dažreiz mums ir jāanalizē procesi atsevišķi, nevis viss direktorijs, šim nolūkam mēs izmantosim autrace, šis rīks ļauj mums uzraudzīt sistēmas zvanus uz noteiktu procesu. Autrace rezultāti tiek saglabāti ceļā: 
 /var/log/audit/audit.log
Piemēram mēs analizēsim ceļu / tvertni / datumu, šim nolūkam mēs izmantosim sekojošo: 
 sudo autrace / bin / date

Mēs redzam, ka ir izveidots notikums ar ID 16541. Tagad mēs turpinām ievadīt šādu komandu, lai skatītu notikuma kopsavilkumu: 

 udo ausearch -p 16541 --raw | aureport -f -i

Tādā veidā mēs varam atsevišķi analizēt failus. Šajā saitē mēs varam redzēt visu veidu ierakstus, kurus var pārbaudīt CentOS 7 revīzijas sistēma.

Tādā veidā mēs redzam, kā CentOS 7 revīzijas sistēma var palīdzēt mums pārvaldīt un uzraudzīt notikumus, kas notiek mūsu datoros, un tādējādi nodrošināt, ka mums ir droša, stabila un optimāla sistēma.

Visbeidzot, mēs atstājam jums apmācību par bezmaksas WinAudit rīku, lai veiktu revīziju sistēmā Windows:

Audits, izmantojot WinAudit

Jums palīdzēs attīstību vietā, daloties lapu ar draugiem

wave wave wave wave wave

Populārākas Posts

wave
1
post-title
Kā izveidot jaunu Outlook profilu un importēt PST
2
post-title
Kā noteikt FSMO Windows Server lomas
3
post-title
Aktivizējiet un deaktivizējiet spēles ātruma pastiprinātāju Xiaomi Redmi Note 6 Pro
4
post-title
Surface Pro 3 salīdzinājums ar MacBook air
5
post-title
Kā atspējot pirkstu nospiedumu ID ierīcē Huawei P20 Pro

Ieteicams

wave
- Sponsored Ad -

Redaktora Izvēle

wave
- Sponsored Ad -