Auditd Linux Tutorial

Prof. Dr. Julien Plank
Auditd Linux Tutorial

Was ist Prüfung?

Auditd ist die Userspace -Komponente des Linux -Prüfungssystems. Auditd ist kurz für Linux Audit -Daemon. In Linux wird Dämon als Hintergrundausgangsservice bezeichnet und am Ende des Anwendungsdienstes befindet sich ein 'D', wenn er im Hintergrund ausgeführt wird. Die Aufgabe von Auditd besteht darin, Protokolldateien der Prüfung als Hintergrunddienst auf die Festplatte zu sammeln und zu schreiben

Warum Auditd verwenden??

Dieser Linux -Dienst bietet dem Benutzer einen Aspekt der Sicherheitsprüfungen unter Linux. Die Protokolle, die von Auditd gesammelt und gespeichert werden, handelt Erhalten Sie Zugriff auf diese Art von Informationen in einer vereinfachten und minimierten Form, die als Protokolle bezeichnet werden. Wenn das System eines Benutzers eine ungewöhnliche Aktivität gegeben hat, kann sein System kompromittiert wurden, dann kann der Benutzer zurückverfolgen und sehen, wie sein System kompromittiert wurde, und dies kann auch in vielen Fällen für die reagierenden Vorfälle helfen.

Grundlagen von Auditd

Der Benutzer kann die gespeicherten Protokolle durchsuchen Auditd Verwendung Aussearch Und Aureport Versorgungsunternehmen. Die Prüfungsregeln befinden sich im Verzeichnis, /etc/audit/prüfung.Regeln das kann durch gelesen werden Auditctl Beim Start. Außerdem können diese Regeln auch verwendet werden Auditctl. Es ist eine Prüfungskonfigurationsdatei zur Verfügung unter /etc/audit/prüfungd.Conf.

Installation

In Debian-basierten Linux-Verteilungen kann der folgende Befehl zur Installation von Auditd verwendet werden, falls dies nicht bereits installiert ist:

Ubuntu@ubuntu: ~ $ sudo apt-Get Install Auditd Audispd-Plugins

Grundbefehl für Auditd:

Zum Starten von Auditd:

$ Service Auditd Start

Zum Anhalten von Auditd:

$ Service Auditd Stop

Zum Neustart von Auditd:

$ Service Auditd Neustart

Zum Abholen von Auditd Status:

$ Service Auditd Status

Für bedingte Neustart -Auditd:

$ Service Auditd Condrestart

Für den Reload Auditd Service:

$ Service Auditd Reload

Für rotierende Auditd -Protokolle:

$ Service Auditd drehen

Zur Überprüfung der Ausgabe von Auditd -Konfigurationen:

$ chkconfig -list auditd

Welche Informationen können in Protokollen aufgezeichnet werden?

  • Zeitstempel- und Ereignisinformationen wie Typ und Ergebnis eines Ereignisses.
  • Ereignis ausgelöst mit dem Benutzer, der es ausgelöst hat.
  • Änderungen an Prüfungskonfigurationsdateien.
  • Zugriffsversuche für Prüfungsprotokolldateien.
  • Alle Authentifizierungsereignisse mit den authentifizierten Benutzern wie SSH usw.
  • Änderungen an sensiblen Dateien oder Datenbanken wie Passwörtern in /etc /passwd.
  • Eingehende und ausgehende Informationen aus und zum System.

Andere Dienstprogramme im Zusammenhang mit der Prüfung:

Einige andere wichtige Versorgungsunternehmen im Zusammenhang mit der Prüfung sind unten angegeben. Wir werden nur einige von ihnen ausführlich besprechen, die üblicherweise verwendet werden.

Auditctl:

Dieses Dienstprogramm wird verwendet, um den Verhaltensstatus der Prüfungsstatus zu erhalten, die Prüfungskonfigurationen zu setzen, zu ändern oder zu aktualisieren. Syntax für die Auditctl -Verwendung ist:

Auditctl [Optionen]

Im Folgenden finden Sie die Optionen oder Flaggen, die größtenteils verwendet werden:

-w

So fügen Sie einer Datei eine Uhr hinzu, was bedeutet, dass das Audit diese Datei im Auge behält und Benutzeraktivitäten zu dieser Datei zu Protokollen hinzufügt.

-k

So geben Sie einen Filterschlüssel oder einen Namen in die angegebene Konfiguration ein.

-P

Fügen Sie einen Filter hinzu, der auf der Erlaubnis von Dateien basiert.

-S

Unterdrückung von Protokollaufnahmen für eine Konfiguration.

-A

So erhalten Sie alle Ergebnisse für die angegebene Eingabe dieser Option.

Zum Beispiel, um eine Uhr auf /etc /Shadow-Datei mit gefiltertem Keyword "Shadow-Key" und mit Berechtigungen als "rwxa" hinzuzufügen:

$ auditctl -W /etc /Shadow -K Shadow -Datei -p rwxa

Aureport:

Dieses Dienstprogramm wird zur Generierung von Prüfprotokollzusammenfassungsberichten aus den aufgezeichneten Protokollen verwendet. Der Bericht Eingabe kann auch RAW -Protokolldaten sein, die mit Stdin an Aureport gespeist werden. Grundlegende Syntax für die Verwendung von Aureport ist:

Aureport [Optionen]

Einige der grundlegenden und am häufigsten verwendeten Aureport -Optionen sind wie unter:

-k

So generieren Sie einen Bericht basierend auf den in den Prüfungsregeln oder -konfigurationen angegebenen Schlüssel.

-ich

Zeigen Sie nicht numerische Informationen wie die ID an und z.

-au

Um den Authentifizierungsversuchen für alle Benutzer zu erstellen.

-l

So generieren Sie Bericht, in dem die Anmeldeinformationen der Benutzer angezeigt werden.

Aussearch:

Dieses Dienstprogramm sucht Tool für Prüfungsprotokolle oder Ereignisse. Die Suchergebnisse werden im Gegenzug auf basierend auf verschiedenen Suchanfragen angezeigt. Wie Aureport können diese Suchabfragen auch RAW -Protokolldaten sein, die mit STDIN der Ausearch übertragen werden. Standardmäßig fragt Ausearch die angegebenen Protokolle ab /var/log/pdit/prüfung.Protokoll, Dies kann direkt angezeigt oder als Tippbefehl wie unten angezeigt werden:

$ cat/var/log/pdit/prüfung.Protokoll

Die einfache Syntax für die Verwendung von AuSearch ist:

Aussearch [Optionen]

Außerdem gibt es bestimmte Flags, die mit Aussarch -Befehl verwendet werden können. Einige häufig verwendete Flags sind:

-P

Dieses Flag wird verwendet, um Prozess -IDs einzugeben, um Abfragen nach Protokollen zu suchen, e.G., AUSEARCH -P 6171.

-M

Dieses Flag wird verwendet, um nach bestimmten Zeichenfolgen in Protokolldateien zu suchen, e.G., AuSearch -m User_login.

-SV

Diese Option ist Erfolgswerte, wenn der Benutzer den Erfolgswert für einen bestimmten Teil der Protokolle abfragt. Diese Flagge wird oft mit -M -Flaggen verwendet, wie z Ausearch -m User_login -sv Nein.

-ua

Diese Option wird verwendet, um einen Benutzernamenfilter für die Suchabfrage E einzugeben, e.G., AUSEARCH -UA Wurzel.

-ts

Diese Option wird verwendet, um einen Zeitstempelfilter für die Suchabfrage E einzugeben, e.G., AuSearch -ts gestern.

AUDGEPD:

Dieses Dienstprogramm wird als Daemon zum Multiplexing von Ereignissen verwendet.

Autrace:

Dieses Dienstprogramm wird zum Verfolgen von Binärdateien mithilfe von Prüfungskomponenten verwendet.

Aulast:

Dieses Dienstprogramm zeigt die neuesten Aktivitäten, die in Protokollen aufgezeichnet wurden.

Aulastlog:

Dieses Dienstprogramm zeigt die neuesten Anmeldeinformationen aller Benutzer oder eines bestimmten Benutzer.

Ausyscall:

Dieses Dienstprogramm ermöglicht die Zuordnung von Systemanrufnamen und Zahlen.

Auvirt:

Dieses Dienstprogramm zeigt die Prüfungsinformationen speziell für die virtuellen Maschinen an.

Schluss

Obwohl Linux-Auditing ein relativ erweitertes Thema für nicht-technische Linux-Benutzer ist, aber die Benutzer selbst entscheiden lassen, bietet Linux an. Im Gegensatz zu anderen Betriebssystemen hält Linux -Betriebssysteme ihre Benutzer tendenziell in der Kontrolle über ihre eigene Umgebung. Als Anfänger oder nicht-technischer Benutzer sollte man immer für das eigene Wachstum lernen. Ich hoffe, dieser Artikel hat Ihnen geholfen, etwas Neues und Nützliches zu lernen.

Zwangsversteigerung
Salesforce Apex - Datumsformat
Praktisches Tutorial zum Erstellen des Datums aus String in Salesforce und konvertieren Sie das Datu...
Lars Daub
Zwangsversteigerung
Salesforce Apex - String -Klasse
Praktisches Tutorial zur Salesforce Apex String -Klasse und der Anwendung seiner Methoden auf einfac...
Gian Eisenlauer
Debian
So ändern Sie den Benutzernamen bei Debian Top 10 Bullseye
Sie können den Benutzernamen auf Debian vom Terminal oder GUI ändern. Dieser Artikel enthält eine de...
Kaya Wyludda
Python
Numpy Astype
Fr. Chris Frisch
PostgreSQL
So kopieren Sie eine Tabelle von einer Datenbank in eine andere in PostgreSQL
Hussein Burkhard
Oracle -Datenbank
Betrachtet man Oracle Fusion als besser als SAP??
Hussein Burkhard
Php
So verwenden Sie PHP -Serialisierungsfunktion
Prof. Dr. Julien Plank
Oracle Linux
Was sollte minimale Systemspezifikationen für Oracle Linux sein?
Mohamed Flore
Power Shell
So verwenden Sie das CMDLET Write-Output in PowerShell?
Jessica Schimmer
AWS
Warum sollte ich AWS -Organisationen verwenden??
Mohamed Flore
Power Shell
So verwenden Sie den Befehl SET-Variable in PowerShell
Lars Daub
Php
So verwenden Sie die Funktion array_merge in PHP?
Jean Dengler
Php
So verwenden Sie Strlen -Funktion in PHP
Mohamed Flore