Kā sistēmas administrators, atbalsta grupas personāls vai vienkārši, lai saglabātu vislabāko kontroles līmeni gan serverī, gan organizācijas klientu datoros, tā pastāvīgi pārbauda operētājsistēmu, lai būtu vienu soli priekšā iespējamām kļūmēm un tādējādi saglabātu sistēmas integritāti un pieejamību, kā arī tās funkcijas, pakalpojumus un tajā saglabātos elementus.
Kas ir Linux auditsKad mēs runājam par revīzijas sistēmu Linux vidē, mēs runājam par mehānismu, kas nodrošina veidu, kā izsekot informācijai, kas attiecas uz drošību minētajā operētājsistēmā.
Revīzija sastāv no dažādu šo sistēmu veidojošo daļu pārbaudes, ar kritisku novērtējumu un, ja nepieciešams, pārbaudēm dažādās interesējošās jomās.
Balstoties uz šo koncepciju, šodien Solvetic analizēs divus labākos revīzijas procesa rīkus Linux: auditd un ausearch.
Ir svarīgi precizēt, ka audits nenodrošina papildu drošību operētājsistēmai, bet to var izmantot, lai atklātu sistēmā izmantoto drošības politiku pārkāpumus un tādējādi būtu pietiekami informēts par tiem.
AuditētsAuditd ir Linux audita sistēma, kas paļaujas uz iepriekš konfigurētiem noteikumiem, lai ģenerētu žurnāla ierakstus un tādējādi saglabātu pēc iespējas vairāk informācijas par notikumiem, kas notiek sistēmā.
Šī savāktā informācija ir izšķiroša misijai kritiskā vidē, lai noteiktu drošības politikas pārkāpēju un tās veiktās darbības un tādējādi ļautu visas drošības darbības un jaunās organizācijā izveidotās politikas koncentrēt uz visas darbības vides uzlabošanu.
Auditd spēj ierakstīt šādus žurnālfailus
- Notikuma datums, laiks, veids un rezultāts.
- Objekta un objekta jutīguma etiķetes.
- Notikuma saistīšana ar tā lietotāja identitāti, kurš izpildīja notikumu.
- Izvietojiet visas izmaiņas audita konfigurācijā un mēģiniet piekļūt audita žurnāla failiem.
- Saglabājiet visu veidu autentifikācijas mehānismus, piemēram, SSH, Kerberos un citus.
- Ir iespējams pārslēgties uz jebkuru uzticamu datu bāzi, piemēram, / etc / passwd.
- Reģistrē visus mēģinājumus importēt vai eksportēt informāciju uz sistēmu vai no tās.
- Ietver vai izslēdz notikumus, pamatojoties uz lietotāja identitāti, tēmas un objekta tagiem un citiem atribūtiem.
PrasībasTādā pašā veidā revīzijas sistēmas izmantošana ir arī nepieciešama prasība virknei sertifikātu, kas saistīti ar drošību, ja tas kādā brīdī tiek prasīts. Revīzija ir izstrādāta, lai izpildītu vai pārsniegtu šādas pasaules atbilstības vadlīniju vai sertifikātu prasības:
- Kontrolētās piekļuves aizsardzības profils (CAPP)
- Marķēts drošības aizsardzības profils (LSPP)
- Noteikumu kopas bāzes piekļuves kontrole (RSBAC)
- Nacionālās rūpniecības drošības programmas darbības rokasgrāmata (NISPOM)
- Federālais informācijas drošības pārvaldības likums (FISMA)
- Maksājumu karšu nozare - datu drošības standarts (PCI -DSS)
- Drošības tehniskās ieviešanas rokasgrāmatas (STIG)
Papildu priekšrocībasLinux audita sistēmas izmantošanas papildu priekšrocības ir šādas:
- Tas neprasa ārēju programmu vai procesu darbību sistēmā, kas padara to pašpietiekamu.
- Tas ir ļoti konfigurējams, tāpēc tas ļauj mums redzēt jebkuru vēlamo sistēmas darbību.
- Tas palīdz atklāt vai analizēt iespējamos sistēmas drošības apdraudējumus.
- Tas spēj darboties kā neatkarīga atklāšanas sistēma.
- Tas var strādāt ar ielaušanās noteikšanas sistēmām, lai iespējotu ielaušanās noteikšanu.
- Tas ir būtisks instruments tiesu izmeklēšanas revīzijai.
Lai gan daži termini var šķist dīvaini, ja mēs esam apņēmušies ievērot drošību, tas neapšaubāmi ir viens no labākajiem variantiem.
1. Linux audita audita sistēmas komponenti
Revīzijas sistēmai ir divas galvenās sastāvdaļas:
- Lietotāju lietojumprogrammas un utilītas vai rīki
- Kodola līmeņa sistēmas zvanu apstrāde, kas pieņem sistēmas zvanus no lietotāja telpas lietojumprogrammām un izlaiž tos caur trīs veidu filtriem: lietotājs, uzdevums, izeja vai izslēgšana.
/var/log/audit/audit.logPapildus tam audispd ir notikumu multipleksors, kas mijiedarbojas ar auditd un nosūta notikumus citām programmām, kuras vēlas veikt reāllaika notikumu apstrādi.
Ir vairāki lietotāju telpas rīki, lai pārvaldītu un izgūtu informāciju no revīzijas sistēmas:
RevīzijaTā ir utilīta, lai kontrolētu kodola audita sistēmu.
AusearchTā ir utilīta, lai meklētu revīzijas žurnāla failus konkrētiem notikumiem.
AureportTā ir utilīta, lai izveidotu ziņojumus par ierakstītajiem notikumiem.
Šai analīzei mēs izmantosim CentOS 7
2. Instalējiet un konfigurējiet auditu CentOS 7
Pirmais solis ir pārliecināties, vai audita rīks ir instalēts sistēmā, izmantojot komandu rpm un utilītu grep, piemēram:
apgr./min -qa | grep auditsRezultāts būs šāds:
Ja mums nav revīzijas pakotņu, mums kā root lietotājiem jāizpilda šāda komanda:
yum instalēšanas auditsPēc instalēšanas mums ir jākonfigurē, vai ir iespējots audits, lai to izpildītu, mēs izpildīsim kādu no šīm komandām to secībā:
CentOS vai RHEL 7
systemctl ir iespējots auditdsystemctl statuss auditdsystemctl start auditd (palaiž pakalpojumu) systemctl enable auditd (iespējo pakalpojumu)
CentOS vai RHEL 6
pakalpojums audd statusservice auditd sākums (palaiž pakalpojumu) chkconfig auditd on (iespējo pakalpojumu)
Mēs redzam, ka tā statuss ir aktīvs.
3. Auditētā konfigurācija
Lai konfigurētu audd, mums jāizmanto galvenais konfigurācijas fails /etc/audit/auditd.conf, jo tur būs iespējams kontrolēt pakalpojuma darbību, piemēram, noteikt žurnāla faila atrašanās vietu, maksimālo žurnāla failu skaitu, ieraksta formātu , kā rīkoties ar pilniem diskiem, ierakstu rotāciju un citām iespējām.
Šim nolūkam mēs izmantosim vēlamo redaktoru:
nano /etc/audit/auditd.confTur mēs redzēsim sekojošo:
Mēs redzam, ka katra rinda ļauj mums norādīt konkrētu darbību, un mēs varam to mainīt pēc nepieciešamības.
4. Revīzijas noteikumi Linux
Kā minēts iepriekš, auditd izmanto noteikumus, lai savāktu konkrētu informāciju no kodola. Šie noteikumi būtībā ir audctl opcijas, kuras var iepriekš konfigurēt failā /etc/audit/rules.d/audit.rules.
Var definēt trīs veidu revīzijas noteikumus, kas ir:
Kontroles noteikumiTie ļauj mainīt revīzijas sistēmas darbību un dažus tās iestatījumus.
Failu sistēmas noteikumiŠie noteikumi ļauj pārbaudīt piekļuvi konkrētam failam vai direktorijam.
Sistēmas izsaukuma noteikumiTie ļauj ierakstīt jebkuras programmas veiktos sistēmas zvanus.
Lai piekļūtu šiem noteikumiem, mēs izmantosim šādu maršrutu, izmantojot vēlamo redaktoru:
nano /etc/audit/rules.d/audit.rulesMēs redzēsim sekojošo:
Šajā failā pirmajā sadaļā mums jāpievieno kontroles noteikumi. Pēc tam pievienojiet revīzijas noteikumus vidējā sadaļā un visbeidzot pēdējā sadaļā ir nemainības parametri, kas ir arī kontroles noteikumi.
Daži šo noteikumu piemēri ir:
Noņemiet visus iepriekšējos noteikumus
-D
Nosakiet bufera lielumu
-b 3074
Neveiksme rada panikas iespēju
-f 4
Izveidojiet ne vairāk kā 120 audita ziņojumus sekundē
-120 r
Noteikuma piemērs ir šāds:
Tur mums ir sekojošais:
Izmanto, lai norādītu skatāmo failu vai direktoriju.
-w
AtļaujasTās ir atļaujas reģistrēties, r - lasīšanas piekļuvei, w - rakstīšanas piekļuvei, x - izpildes piekļuvei un - faila vai direktora atribūta maiņai.
-lpp
Noteikt noteikumu kopumuĻauj iestatīt izvēles ķēdi, lai noteiktu, kurš noteikums (vai noteikumu kopums) izveidoja konkrētu reģistra ierakstu.
-k
Kad noteikumi ir definēti, mēs izmantojam taustiņu kombināciju Ctrl + O, lai saglabātu failu, un Ctrl + X, lai izietu no tā. Mēs pievienosim šos noteikumus, ņemot vērā piemērus, izpildot šādas saknes kā saknes:
auditctl -w / etc / passwd -p wa -k passwd_changesauditctl -w / etc / group -p wa -k group_changesauditctl -w / etc / sudoers -p wa -k sudoers_changesLai redzētu pašreizējos noteikumus, mēs izpildīsim sekojošo:
sudo auditctl -l
Tādā veidā auditd kļūst par vērtīgu CentOS 7 revīzijas rīku.
5. Ausearch Linux
Lietderība ausearch ir izstrādāta, lai ļautu meklēt audita žurnāla failus konkrētiem notikumiem, pamatojoties uz notikumiem un dažādiem meklēšanas kritērijiem, piemēram, notikuma identifikatoru, atslēgas identifikatoru, CPU arhitektūru, komandas nosaukumu, resursdatora nosaukumu, grupas nosaukumu vai grupas ID.
Pēc noklusējuma ausearch meklē failu /var/log/audit/audit.log. Jūs varat norādīt citu failu, izmantojot komandu ausearch options -if faila nosaukums. Vairāku iespēju nodrošināšana komandā ausearch ir līdzvērtīga operatora AND izmantošanai.
Lai izmantotu noklusējuma vērtību un skatītu pašreizējos žurnālus, mēs izpildīsim vienu no šīm komandām:
kaķis /var/log/audit/audit.logcat /var/log/audit/audit.log | mazāk
Kā redzam, šeit attēlotie dati var būt mulsinoši, tāpēc ausearch izmanto ausearch sintaksi (opciju), lai filtrētu šos rezultātus un iegūtu daudz vieglāk pārvaldāmu redzējumu.
Mums ir šādas iespējas:
Pārbaudiet procesu žurnālu izpildiTur mēs varam izmantot parametru -p plus PID, lai iegūtu konkrētu rezultātu:
ausearch -p 579
Audita žurnāla faila pārbaude pieteikšanās mēģinājumiemŠajā gadījumā mums ir jāizmanto parametrs -m, lai identificētu konkrētus ziņojumus, un -sv, lai definētu veiksmīgos rezultātus.
ausearch -m USER_LOGIN -sv nr
Atrodiet lietotāju darbības Auditd žurnāla failāŠim rezultātam mēs izmantosim parametru -ua plus lietotājvārdu:
ausearch -ua Solvetic
Atrodiet lietotāju, grupu un lomu izmaiņasIzmantojot šo opciju, būs iespējams pārskatīt visas sistēmas izmaiņas, kas tiek izmantotas lietotāju kontos, grupās un lomās; Mēs varam norādīt vairāku veidu ziņojumus, atdalot tos ar komatiem, kā norādīts tālāk.
ausearch -m ADD_USER, DEL_USER, USER_CHAUTHTOK, ADD_GROUP, DEL_GROUP, CHGRP_ID, ROLE_ASSIGN, ROLE_REMOVE -iMēs redzēsim sekojošo:
Skatiet ausearch palīdzībuLai redzētu dažādas šīs utilītas iespējas, mēs veiksim sekojošo:
cilvēks ausearch
Tātad mēs varam redzēt dažādas iespējas, veicot pilnīgu un efektīvu auditu CentOS vai RedHat.
