Kao administratori sustava, osoblje grupe za podršku ili jednostavno kao mjera za održavanje najbolje razine kontrole i poslužitelja i klijentskih računala organizacije, neprestano vrši reviziju operativnog sustava kako bi bili korak ispred mogućih grešaka i na taj način očuvati integritet i dostupnost sustava, kao i njegove uloge, usluge i elemente pohranjene u njemu.
Što je revizija LinuxaKada govorimo o sustavu revizije u Linux okruženju, govorimo o mehanizmu koji pruža način za praćenje informacija relevantnih za sigurnost u navedenom operativnom sustavu.
Revizija se sastoji od ispitivanja različitih dijelova koji posebno čine taj sustav, s kritičkom ocjenom i po potrebi ispitivanja u različitim područjima od interesa.
Na temelju ovog koncepta, danas će Solvetic analizirati dva najbolja alata za proces revizije u Linuxu: auditd i ausearch.
Važno je pojasniti da revizija ne pruža dodatnu sigurnost operacijskom sustavu, ali se može koristiti za otkrivanje kršenja sigurnosnih politika koje se koriste u sustavu i na taj način imati odgovarajuće znanje o njima.
RevizijaAuditd je sustav revizije Linuxa koji se oslanja na unaprijed konfigurirana pravila za generiranje zapisa dnevnika i na taj način pohranjuje što je moguće više informacija o događajima koji se događaju u sustavu.
Prikupljeni podaci ključni su za kritična okruženja kako bi se utvrdio prekršitelj sigurnosnih politika i radnje koje su poduzeli, a time i omogućilo da se sve sigurnosne radnje i nove politike stvorene u organizaciji usredotoče na poboljšanje cjelokupnog operativnog okruženja.
Auditd može snimiti sljedeće datoteke dnevnika
- Datum, vrijeme, vrsta i rezultat događaja.
- Oznake osjetljivosti subjekta i objekta.
- Povezivanje događaja s identitetom korisnika koji je izvršio događaj.
- Implementirajte sve izmjene u konfiguraciju revizije i pokušajte pristupiti datotekama dnevnika revizije.
- Pohranite sve upotrebe mehanizama provjere autentičnosti, kao što su SSH, Kerberos i drugi.
- Moguće je prebaciti se na bilo koju pouzdanu bazu podataka, poput / etc / passwd.
- Bilježi svaki pokušaj uvoza ili izvoza podataka u sustav ili iz njega.
- Uključuje ili isključuje događaje na temelju identiteta korisnika, oznaka subjekta i objekta i drugih atributa.
ZahtjeviNa isti način, uporaba sustava revizije također je neophodan zahtjev za niz certifikata koji se odnose na sigurnost ako je to u nekom trenutku potrebno. Revizija je osmišljena tako da ispuni ili premaši zahtjeve sljedećih svjetskih smjernica ili certifikata o usklađenosti:
- Profil zaštite kontroliranog pristupa (CAPP)
- Označeni profil sigurnosne zaštite (LSPP)
- Kontrola pristupa bazi pravila (RSBAC)
- Operativni priručnik Nacionalnog programa industrijske sigurnosti (NISPOM)
- Federalni zakon o upravljanju sigurnosnom informacijom (FISMA)
- Industrija platnih kartica - Standard sigurnosti podataka (PCI -DSS)
- Sigurnosno -tehnički vodiči za implementaciju (STIG)
Dodatne pogodnostiNeke od dodatnih prednosti korištenja sustava revizije Linuxa su sljedeće:
- Za rad na sustavu nisu potrebni vanjski programi ili procesi koji ga čine samodostatnim.
- Vrlo se može konfigurirati, pa nam omogućuje da vidimo bilo koji rad sustava koji želimo.
- Pomaže u otkrivanju ili analiziranju potencijalnih kompromisa, na sigurnosnoj razini, sustava.
- Može funkcionirati kao neovisni sustav otkrivanja.
- Može raditi sa sustavima za otkrivanje upada kako bi se omogućilo otkrivanje upada.
- To je vitalni alat za reviziju forenzičke istrage.
Iako se neki izrazi mogu činiti čudnima, ako smo predani sigurnosti, ovo je nesumnjivo jedna od najboljih opcija.
1. Komponente revizijskog sustava Linux revizije
Sustav revizije ima dvije osnovne komponente koje su:
- Korisničke aplikacije i uslužni programi ili alati
- Obrada sistemskih poziva na razini jezgre, koja prihvaća sistemske pozive iz aplikacija prostora korisnika i prolazi ih kroz tri vrste filtera: korisnički, zadatak, izlaz ili izuzimanje.
/var/log/audit/audit.logOsim toga, audispd je multiplekser događaja koji komunicira s revizijom i šalje događaje drugim programima koji žele izvesti obradu događaja u stvarnom vremenu.
Postoji nekoliko alata korisničkog prostora za upravljanje i dohvaćanje informacija iz sustava revizije, a to su:
RevizijaTo je pomoćni program za upravljanje sustavom revizije jezgre.
AusearchTo je uslužni program za pretraživanje datoteka dnevnika revizije za određene događaje.
AureportTo je uslužni program za stvaranje izvješća o snimljenim događajima.
Za ovu analizu koristit ćemo CentOS 7
2. Instalirajte i konfigurirajte auditd na CentOS 7
Prvi korak je provjeriti je li alat za reviziju instaliran na sustavu pomoću naredbe rpm i uslužnog programa grep ovako:
o / min -qa | grep revizijaRezultat će biti:
U slučaju da nemamo revizijske pakete, moramo izvršiti sljedeću naredbu kao root korisnici:
yum revizija instaliranjaNakon instaliranja moramo konfigurirati je li revizija omogućena, za to ćemo izvršiti bilo koju od sljedećih naredbi prema njihovom redoslijedu:
Na CentOS -u ili RHEL -u 7
systemctl je omogućen auditdsystemctl status auditdsystemctl start auditd (pokreće uslugu) systemctl enable auditd (omogućuje uslugu)
Na CentOS -u ili RHEL -u 6
status auditd statusservice auditd start (pokreće uslugu) chkconfig auditd on (omogućuje uslugu)
Vidimo da je njegov status aktivan.
3. Revizija konfiguracije
Da bismo konfigurirali auditd, moramo upotrijebiti glavnu konfiguracijsku datoteku /etc/audit/auditd.conf jer će tamo biti moguće kontrolirati rad usluge, kao što je definiranje lokacije datoteke dnevnika, maksimalnog broja datoteka dnevnika, formata zapisa , kako rukovati punim diskovima, rotaciju zapisa i više opcija.
Za to ćemo koristiti željeni uređivač:
nano /etc/audit/auditd.confTamo ćemo vidjeti sljedeće:
Možemo vidjeti da nam svaki redak omogućuje označavanje određene radnje i možemo je promijeniti prema potrebi.
4. Pravila revizije u Linuxu
Kao što je gore navedeno, auditd koristi pravila za prikupljanje specifičnih informacija iz jezgre. Ova su pravila u osnovi revizijske opcije koje se mogu unaprijed konfigurirati u /etc/audit/rules.d/audit.rules datoteci.
Postoje tri vrste revizijskih pravila koja se mogu definirati, a to su:
Pravila kontroleOni omogućuju mijenjanje ponašanja revizijskog sustava i nekih njegovih postavki.
Pravila datotečnog sustavaOva pravila dopuštaju reviziju pristupa određenoj datoteci ili direktoriju.
Pravila sistemskog pozivaOni omogućuju snimanje sistemskih poziva bilo kojeg programa.
Za pristup ovim pravilima ići ćemo na sljedeću rutu pomoću željenog uređivača:
nano /etc/audit/rules.d/audit.rulesVidjet ćemo sljedeće:
U ovoj datoteci, u prvom odjeljku moramo dodati kontrolna pravila. Zatim dodajte pravila revizije u srednji odjeljak i na kraju zadnji odjeljak sadrži parametre nepromjenljivosti koji su ujedno i kontrolna pravila.
Neki primjeri ovih pravila su:
Uklonite sva dosadašnja pravila
-D
Odredite veličinu međuspremnika
-b 3074
Neuspjeh stvara opciju panike
-f 4
Kreirajte najviše 120 poruka revizije u sekundi
-r 120
Primjer pravila je sljedeći:
Tu imamo sljedeće:
Koristi se za navođenje datoteke ili direktorija za gledanje.
-w
DopuštenjaTo su dozvole za registraciju, r - za pristup čitanju, w - za pristup pisanju, x - pristup za izvršavanje i - za promjenu atributa datoteke ili direktorija.
-str
Odredite skup pravilaOmogućuje vam postavljanje izbornog lanca za identifikaciju pravila (ili skupa pravila) koji je stvorio određeni unos registra.
-k
Nakon što su pravila definirana, koristimo kombinaciju tipki Ctrl + O za spremanje datoteke i Ctrl + X za izlazak iz nje. Dodati ćemo ova pravila, uzimajući ona iz primjera izvršavanjem sljedećih redaka kao root:
auditctl -w / etc / passwd -p wa -k passwd_changesauditctl -w / etc / group -p wa -k group_changesauditctl -w / etc / sudoers -p wa -k sudoers_changesKako bismo vidjeli trenutna pravila, izvršit ćemo sljedeće:
sudo auditctl -l
Na ovaj način revizija postaje vrijedan revizijski alat u CentOS -u 7.
5. Ausearch Linux
Pomoćni program ausearch osmišljen je tako da omogućuje pretraživanje datoteka dnevnika revizije za određene događaje na temelju događaja i različitih kriterija pretraživanja, kao što su identifikator događaja, identifikator ključa, arhitektura CPU -a, naziv naredbe, naziv hosta, naziv grupe ili ID grupe.
Prema zadanim postavkama ausearch traži datoteku /var/log/audit/audit.log. Možete odrediti drugu datoteku pomoću naredbe ausearch options -if filename. Pružanje više opcija u ausearch naredbi ekvivalentno je korištenju operatora AND.
Da bismo koristili zadanu vrijednost i vidjeli trenutne zapisnike, izvršit ćemo jednu od sljedećih naredbi:
cat /var/log/audit/audit.logcat /var/log/audit/audit.log | manje
Kao što vidimo, ovdje prikazani podaci mogu biti zbunjujući, zbog čega ausearch koristi sintaksu (opciju) ausearch za filtriranje ovih rezultata i dobivanje vizije mnogo lakšim za upravljanje.
Imamo opcije kao što su:
Provjerite izvršavanje zapisnika procesaTamo možemo koristiti parametar -p plus PID za dobivanje određenog rezultata:
ausearch -p 579
Provjera pokušaja prijave u datoteku dnevnika revizijeU ovom slučaju moramo koristiti -m parametar za identifikaciju specifičnih poruka i -sv za definiranje uspješnih rezultata.
ausearch -m USER_LOGIN -sv br
Pronađite aktivnost korisnika u datoteci dnevnika AuditdZa ovaj rezultat koristit ćemo parametar -ua plus korisničko ime:
ausearch -ua Solvetic
Pronađite izmjene za korisnike, grupe i ulogePomoću ove opcije bit će moguće pregledati sve promjene sustava koje se koriste s korisničkim računima, grupama i ulogama; Možemo navesti nekoliko vrsta poruka odvojenih zarezima na sljedeći način:
ausearch -m ADD_USER, DEL_USER, USER_CHAUTHTOK, ADD_GROUP, DEL_GROUP, CHGRP_ID, ROLE_ASSIGN, ROLE_REMOVE -iVidjet ćemo sljedeće:
Pogledajte ausearch pomoćDa bismo vidjeli različite mogućnosti ovog uslužnog programa, izvršit ćemo sljedeće:
čovjek ausearch
Tako možemo vidjeti različite mogućnosti pri provođenju potpune i učinkovite revizije u CentOS -u ili RedHatu.
