Kako koristiti sustav revizije u CentOS -u 7

Kako koristiti sustav revizije u CentOS -u 7

Kad naše uloge i funkcije uključuju upravljanje svim elementima korporacijske infrastrukture, bilo na razini mreže ili sustava, moramo imati korisne alate za praćenje, praćenje događaja i osiguravanje optimalne izvedbe svih njezinih komponenti.

Danas ćemo pregledati kako implementirati i koristiti sustav revizije Linuxa, alat za mnoge nepoznate. Znamo da postoje pomoćni programi trećih strana koji nam omogućuju upravljanje različitim parametrima unutar sustava, ali ovaj uslužni program nadilazi ono što nam je potrebno i provjerit ćemo zašto.

U ovom ćemo vodiču analizirati uslužni program u okruženju CentOS 7.

1. Poznavati sustav revizije Linuxa


S revizijskim sustavom možemo biti ažurirani u pogledu bitnih sigurnosnih informacija u našem sustavu.

Sustav revizije pruža nam izvješća o svim događajima koji se događaju u sustavu na temelju unaprijed definiranih pravila; Važno je pojasniti da sa sustavom revizije ne dodajemo sigurnost CentOS -u 7, ali nam omogućuje da analiziramo nedostatke koje sustav mora poduzeti kako bi ispravio mjere.

Informacije sposobne za analizu

  • Promjene baze podataka, na primjer promjene puta / etc / passwd.
  • Sustav revizije daje datum, vrijeme i vrstu događaja.
  • Pokušaji uvoza ili izvoza podataka unutar sustava.
  • Mehanizmi provjere autentičnosti korisnika.
  • Sve izmjene revizijskih promjena i pokušaji pristupa revizijskim zapisnicima, među ostalim.

2. Provjerite instalaciju sustava revizije


Unutar sustava revizije moramo uzeti u obzir dvije važne sheme:

1. Jezgra sustava revizije uzima sve događaje koje je korisnik obradio i šalje te podatke demonu revizije.

2. Revizorski demon uzima te podatke i stvara zapise.

Sustav revizije obrađuje dva paketa: revizija Y audit-libsOni su prema zadanim postavkama instalirani u CentOS 7, a njihovu instalaciju možemo provjeriti pomoću sljedeće naredbe: 

 sudo yum list audit audit-libs

U slučaju da ih nemamo, možemo instalirati sustav revizije pomoću sljedeće naredbe: 

 sudo yum instalirati reviziju
Nakon što su instalirani, moramo vidjeti sljedeći tekst: 
 Instalirani paketi audit.x86_64 audit-libs.x86_64
Prijeđimo na konfiguraciju sustava.

3. Konfigurirajte sustav revizije u CentOS -u 7


Nakon što potvrdimo da imamo potrebne pakete, promijenit ćemo konfiguraciju datoteke auditd.conf i upravo u ovoj datoteci imamo mogućnost konfiguriranja registara, događaja i drugih. Za pristup ovoj datoteci upotrijebit ćemo sljedeću naredbu: 
 sudo nano /etc/audit/auditd.conf
Prikazat će se sljedeći prozor:

Najvažniji parametri

  • br_logs: Omogućuje definiranje broja zapisnika koji se bilježe u opremu.
  • max_log_file: Pomoću ovog parametra možemo definirati najveću veličinu dnevnika.
  • razmak_lijevo: Možemo postaviti količinu slobodnog prostora na disku.
  • disk_puna_akcija: Možemo definirati određenu radnju kada je disk pun.

Kao što vidimo, možemo prilagoditi različite parametre. Na primjer, ako želimo da broj dnevnika bude 12, jednostavno brišemo zadanu vrijednost (5) i dodajemo željenu (12). Ako želimo promijeniti veličinu dnevnika na 20, jednostavno promijenimo zadanu vrijednost (6) na potrebnu (20).

Promjene spremamo kombinacijom Ctrl + O i izlazimo iz uređivača pomoću kombinacije Ctrl + X. Nakon što su promjene obrađene, moramo ponovno pokrenuti uslugu revizije pomoću naredbe: 

 sudo servis revizija ponovno pokretanje
BilješkaAko želimo urediti parametre pravila, moramo urediti datoteku audit.rules pomoću sljedeće naredbe: 
 /etc/audit/rules.d/audit.rules

4. Upoznajte zapisnike revizije sustava u CentOS -u 7


Prema zadanim postavkama, sustav revizije pohranjuje sve događaje koji su se dogodili u CentOS -u na putu /var/log/audit/audit.log i ove datoteke sadrže mnogo informacija i koda koji mnogima od nas možda neće biti tako razumljivi, ali Solvetic se brine da ih malo sažme.

Kako bismo pokazali kako funkcionira sustav revizije, stvorili smo pravilo sshconfigchange koje se može stvoriti pomoću sljedeće naredbe: 

 sudo auditctl -w / etc / ssh / sshd_config -p rwxa -k sshconfigchange
Da bismo vidjeli pravilo koristimo sljedeću sintaksu: 
 sudo cat / etc / ssh / sshd_config

Sada ćemo vidjeti dnevnik koji je stvorio alat za reviziju sustava unošenjem sljedećeg: 

 sudo nano /var/log/audit/audit.log

Oslonit ćemo se na tri (3) vitalna zapisa:

  • SYSCALL
  • CWD
  • STAZA

Ove datoteke su sastavljene na sljedeći način:

  • Ključna riječ: Odnosi se na naziv procesa (PATH, CWD, itd.)
  • Vremenska oznaka: Odnosi se na datum i vrijeme (1469708505.235)
  • Ići: Sastoji se od ID -a predmetnog događaja (153)

SYSCALL događaj
SYSCALL se odnosi na poruku koju generira poziv jezgre iz sustava revizije, polje poruke = revizija (1469708505.235:153):

U vremenska oznaka i polje ID -a vidimo da ova tri zapisa imaju istu vrijednost (1469708505.235: 153) što ukazuje da su ta tri zapisa pohranjena s istim događajem revizije.

The lučno polje odnosi se na arhitekturu stroja, u ovom slučaju 40000003 označava da se radi o i386, da je vrijednost c000003e odnosila bi se na stroj x86_64.

The Syscall polje spominje vrstu poziva koji je poslan sustavu. Vrijednost može varirati, u ovom slučaju je 5. Možemo upotrijebiti naredbu sudo ausyscall 5 da vidimo status usluge (Otvoreno).

Postoji više od 300 vrijednosti, ako želimo vidjeti što vrijednosti općenito znače, možemo upotrijebiti naredbu: 

 sudo ausyscall -dump
Vidjet ćemo sve vrijednosti i njihovo značenje:

The Polje uspjeha Govori nam je li poziv na događaj bio uspješan ili ne, da ili ne. Možemo locirati događaj SYSCALL i pomaknuti se ulijevo da bismo vidjeli uključena druga izvješća.

The uid polje odnosi se na korisnika koji je pokrenuo uslugu revizije, u ovom slučaju to je uid = 0.

The comm polje odnosi se na naredbu koja je korištena za prikaz poruke, pa vidimo da se pojavljuje kao comm = "cat".

The exe polje Označava put do naredbe koja je generirala revizijski događaj, u ovom primjeru možemo vidjeti da je exe = " / usr / bin / cat".

CWD događaj
U CWD događaju možemo primijetiti da nema istih informacija kao u SYSCALL-u, ovdje imamo direktorij koji se koristi za spremanje događaja, CWD-Current Working Directory, stoga vidimo vrijednost cwd = ” / home / Solticic”.

PATH događaj
U posljednjem događaju, PATH, vidimo da je polje s imenom koji se odnosi na datoteku ili direktorij koji je korišten za izradu revizije, u ovom slučaju vidimo sljedeće: name = " / etc / ssh / sshd_config".

5. Pretražite revizijske događaje za određene događaje


Jedan od najzanimljivijih načina na koji možemo tražiti događaj u CentOS -u 7 je upotreba sintakse: 
 sudo ausearch -m Ime_događaja --počnite danas -i
Ova naredba omogućuje nam filtriranje određenog događaja i ne moramo pretraživati ​​cijelu datoteku događaja jer je opsežna. U tom slučaju ćemo tražiti sve događaje povezane s prijavom, pa ćemo unijeti sljedeće: 
 sudo ausearch -m PRIJAVA --počnite danas -i
Dobiveni rezultat bit će sljedeći:

Također je moguće filtrirati pretraživanje prema ID -u događaja za to ćemo koristiti sljedeću sintaksu: 

 sudo ausearch -ID događaja_ID
Zatim ćemo vidjeti kako generirati izvješća.

6. Generirajte revizijska izvješća


Jedan od načina na koji možemo bolje upravljati događajima je s detaljnim izvještajem o tome što se događa u CentOS -u 7, a sa sustavom revizije možemo generirati izvješća koja su jednostavna i jasna za razumijevanje kako bi nam pomogli u upravljanju. Za to ćemo koristiti naredbu: 
 sudo aureport -x -sažetak
Vidjet ćemo dobiveni rezultat:

Prvi stupac koji vidimo označava koliko je puta naredba izvršena, a drugi stupac pokazuje koja je naredba izvršena. Na isti način možemo generirati izvješće s neuspjelim događajima pomoću naredbe: 

 sudo aureport -neuspješno

Ako želimo generirati izvješće s korisničkim imenima i sistemskim pozivima, upotrijebit ćemo naredbu: 

 sudo aureport -f -i

7. Kako pojedinačno analizirati procese


Moguće je da ponekad moramo analizirati procese pojedinačno, a ne cijeli direktorij, za to ćemo koristiti autrace, ovaj alat omogućuje nam praćenje sistemskih poziva prema određenom procesu. Autrace rezultati pohranjeni su na putu: 
 /var/log/audit/audit.log
Na primjer analizirat ćemo put / kantu / datum, za to ćemo koristiti sljedeće: 
 sudo autrace / bin / date

Vidimo da je događaj s ID -om 16541 kreiran. Sada nastavljamo unositi sljedeću naredbu da vidimo sažetak događaja: 

 udo ausearch -p 16541 --raw | aureport -f -i

Na ovaj način možemo pojedinačno analizirati datoteke. Na sljedećoj poveznici možemo vidjeti sve vrste zapisa koje sustav revizije može provjeriti u CentOS -u 7.

Na taj način vidimo kako nam sustav revizije u CentOS -u 7 može pomoći u upravljanju i nadzoru događaja koji se događaju na našim računalima i na taj način osigurati siguran, stabilan i optimalan sustav.

Na kraju, ostavljamo vam vodič o besplatnom alatu WinAudit za obavljanje revizija u sustavu Windows:

Revizija s WinAuditom

Vi ćete pomoći u razvoju web stranice, dijeljenje stranicu sa svojim prijateljima

wave wave wave wave wave

Popularni Postovi

wave
1
post-title
▷ Kako onemogućiti roditeljski nadzor Fortnite Xbox Series X ili Xbox Series S
2
post-title
▷ Kako promijeniti i preuzeti Amazfit GTS sfere
3
post-title
▷ Kako snimiti zaslon Samsung Galaxy A32, A42, A52 i A72 - 5G
4
post-title
▷ Kako spojiti i sinkronizirati Huawei Band 6 iPhone
5
post-title
Najbolje aplikacije za skrivanje Android fotografija ili videozapisa

Preporučeno

wave
- Sponsored Ad -

Izbor Urednika

wave
- Sponsored Ad -