Sicherheit

Geprüftes Linux-Tutorial

Geprüftes Linux-Tutorial

Was ist auditiert??

Auditd ist die Userspace-Komponente des Linux-Audit-Systems. Auditd ist die Abkürzung für Linux Audit Daemon. Unter Linux wird der Daemon als im Hintergrund ausgeführter Dienst bezeichnet und am Ende des Anwendungsdienstes wird ein 'd' angehängt, während er im Hintergrund ausgeführt wird. Die Aufgabe von auditd besteht darin, Protokolldateien von Audit zu sammeln und als Hintergrunddienst auf die Festplatte zu schreiben

Warum auditd . verwenden?

Dieser Linux-Dienst bietet dem Benutzer einen Sicherheitsüberprüfungsaspekt in Linux. Die Protokolle, die von auditd gesammelt und gespeichert werden, sind verschiedene Aktivitäten, die der Benutzer in der Linux-Umgebung ausführt, und wenn ein Benutzer nachfragen möchte, was andere Benutzer in einer Unternehmens- oder Mehrbenutzerumgebung gemacht haben, kann dieser Benutzer Zugriff auf diese Art von Informationen in vereinfachter und minimierter Form erhalten, die als Protokolle bezeichnet werden. Auch wenn auf dem System eines Benutzers eine ungewöhnliche Aktivität aufgetreten ist, sagen wir, sein System wurde kompromittiert, dann kann der Benutzer zurückverfolgen und sehen, wie sein System kompromittiert wurde, und dies kann in vielen Fällen auch bei der Reaktion auf Vorfälle helfen.

Grundlagen der auditd

Der Benutzer kann die gespeicherten Protokolle durchsuchen nach auditd mit aussuchen und Aureport Versorgungsunternehmen. Die Auditregeln befinden sich im Verzeichnis, /etc/audit/audit.Regeln die gelesen werden kann von auditctl beim Start. Außerdem können diese Regeln auch mit geändert werden auditctl. Eine auditd-Konfigurationsdatei ist verfügbar unter /etc/audit/auditd.conf.

Installation

In debian-basierten Linux-Distributionen kann der folgende Befehl verwendet werden, um auditd zu installieren, falls nicht bereits installiert:

[email protected]:~$ sudo apt-get install auditd audispd-plugins

Grundbefehl für auditd:

Zum Starten des Audits:

$ service auditd start

Zum Stoppen von auditd:

$ service auditd stop

Für den Neustart von auditd:

$ service auditd neustart

Zum Abrufen des Auditd-Status:

$ Service-Audit-Status

Für bedingten Neustart auditd:

$ service auditd condrestart

Für den Auditd-Service zum Nachladen:

$ service auditd reload

Für rotierende Auditd-Logs:

$ service auditd rotieren

Um die Ausgabe von auditd-Konfigurationen zu überprüfen:

$ chkconfig --list auditd

Welche Informationen können in Protokollen aufgezeichnet werden??

Andere Dienstprogramme im Zusammenhang mit der Prüfung:

Einige andere wichtige Dienstprogramme im Zusammenhang mit der Prüfung sind unten aufgeführt. Wir werden nur einige davon im Detail besprechen, die häufig verwendet werden.

auditctl:

Dieses Dienstprogramm wird verwendet, um den Verhaltensstatus von Audit-, Set-, Change- oder Update-Audit-Konfigurationen abzurufen. Syntax für die Verwendung von auditctl ist:

auditctl [Optionen]

Im Folgenden sind die am häufigsten verwendeten Optionen oder Flags aufgeführt:

-w

So fügen Sie einer Datei eine Überwachung hinzu, was bedeutet, dass das Audit diese Datei im Auge behält und Benutzeraktivitäten im Zusammenhang mit dieser Datei zu den Protokollen hinzufügt.

-k

So geben Sie einen Filterschlüssel oder -namen in die angegebene Konfiguration ein.

-p

So fügen Sie einen Filter basierend auf der Berechtigung von Dateien hinzu.

-S

So unterdrücken Sie die Protokollerfassung für eine Konfiguration.

-ein

Um alle Ergebnisse für die angegebene Eingabe dieser Option zu erhalten.

Um beispielsweise eine Überwachung in der Datei /etc/shadow mit dem gefilterten Schlüsselwort 'shadow-key' und mit Berechtigungen wie 'rwxa' hinzuzufügen:

$ auditctl -w /etc/shadow -k shadow-file -p rwxa

Aubericht:

Dieses Dienstprogramm wird verwendet, um aus den aufgezeichneten Protokollen zusammenfassende Auditprotokollberichte zu generieren. Die Berichtseingabe kann auch rohe Protokolldaten sein, die mit stdin an aureport gespeist werden. Die grundlegende Syntax für die Verwendung von aureport ist:

Aureport [Optionen]

Einige der grundlegenden und am häufigsten verwendeten Aureport-Optionen sind wie folgt:

-k

So erstellen Sie einen Bericht basierend auf den in den Auditregeln oder -konfigurationen angegebenen Schlüsseln.

-ich

Zur Anzeige von Textinformationen anstelle von numerischen Informationen wie der ID, z. B. Anzeige des Benutzernamens anstelle der Benutzer-ID.

-au

So erstellen Sie einen Bericht über die Authentifizierungsversuche für alle Benutzer.

-l

Um einen Bericht zu erstellen, der die Login-Informationen der Benutzer anzeigt.

aussuchen:

Dieses Dienstprogramm sucht nach Überwachungsprotokollen oder Ereignissen. Im Gegenzug werden die Suchergebnisse basierend auf verschiedenen Suchanfragen angezeigt. Wie bei aureport können diese Suchanfragen auch rohe Protokolldaten sein, die mit stdin an aussearch gespeist werden. Standardmäßig fragt aussearch die Logs ab, die unter abgelegt sind /var/log/audit/audit.Log, die direkt angezeigt oder als Eingabebefehl wie folgt aufgerufen werden können:

$ cat /var/log/audit/audit.Log

Die einfache Syntax für die Verwendung von aussearch lautet:

aussuchen [Optionen]

Außerdem gibt es bestimmte Flags, die mit dem Befehl aussearch verwendet werden können. Einige häufig verwendete Flags sind:

-p

Dieses Flag wird verwendet, um Prozess-IDs einzugeben, um Abfragen nach Protokollen zu suchen, z.G., aussearch -p 6171.

-ich

Dieses Flag wird verwendet, um in Protokolldateien nach bestimmten Zeichenfolgen zu suchen, z.G., aussearch -m USER_LOGIN.

-sv

Diese Option sind Erfolgswerte, wenn der Benutzer den Erfolgswert für einen bestimmten Teil der Protokolle abfragt. Dieses Flag wird oft mit dem Flag -m verwendet, wie z aussearch -m USER_LOGIN -sv no.

-ua

Diese Option wird verwendet, um einen Benutzernamenfilter für die Suchanfrage einzugeben, z.G., aussearch -ua root.

-ts

Diese Option wird verwendet, um einen Zeitstempelfilter für die Suchanfrage einzugeben, z.G., aussearch -ts gestern.

auditspd:

Dieses Dienstprogramm wird als Daemon zum Multiplexen von Ereignissen verwendet.

autra:

Dieses Dienstprogramm wird zum Verfolgen von Binärdateien mithilfe von Überwachungskomponenten verwendet.

aulast:

Dieses Dienstprogramm zeigt die neuesten Aktivitäten an, die in Protokollen aufgezeichnet wurden.

aulastlog:

Dieses Dienstprogramm zeigt die neuesten Anmeldeinformationen aller Benutzer oder eines bestimmten Benutzers an.

ausyscall:

Dieses Dienstprogramm ermöglicht die Zuordnung von Systemrufnamen und -nummern.

auvirt:

Dieses Dienstprogramm zeigt die Überwachungsinformationen speziell für die virtuellen Maschinen an.

Abschluss

Obwohl Linux Auditing ein relativ fortgeschrittenes Thema für nicht-technische Linux-Benutzer ist, aber die Benutzer selbst entscheiden lassen, bietet Linux das Angebot. Im Gegensatz zu anderen Betriebssystemen neigen Linux-Betriebssysteme dazu, ihren Benutzern die Kontrolle über ihre eigene Umgebung zu behalten. Auch als Anfänger oder Nicht-Techniker sollte man immer für sein eigenes Wachstum lernen. Ich hoffe, dieser Artikel hat Ihnen geholfen, etwas Neues und Nützliches zu lernen.

Maus AppyMouse On-Screen Trackpad und Mauszeiger für Windows Tablets
AppyMouse On-Screen Trackpad und Mauszeiger für Windows Tablets
Tablet-Benutzer vermissen oft den Mauszeiger, insbesondere wenn sie die Laptops gewohnt sind. Die Touchscreen-Smartphones und -Tablets bieten viele Vo...
Maus Mittlere Maustaste funktioniert nicht unter Windows 10
Mittlere Maustaste funktioniert nicht unter Windows 10
Das mittlere Maustaste hilft Ihnen beim Scrollen durch lange Webseiten und Bildschirme mit vielen Daten. Wenn das aufhört, werden Sie am Ende die Tast...
Maus So ändern Sie die linke und rechte Maustaste auf einem Windows 10-PC
So ändern Sie die linke und rechte Maustaste auf einem Windows 10-PC
Es ist ganz normal, dass alle Computer-Maus-Geräte ergonomisch für Rechtshänder gestaltet sind. Es gibt aber auch Mausgeräte, die speziell für Linkshä...