قبل بضعة أيام ، بدءًا من فبراير ، استقلنا أ وظيفة خاصة واحد عظيم مجموعة من الأوامر الأساسية (الأساسية والمتوسطة) متاح في معظم أنظمة التشغيل المجانية والمفتوحة القائمة على GNU / Linux. وبالتالي ، كان بعضها بسيطًا جدًا ، ويمكن من خلاله معالجة المجلدات والملفات ، وعرض المعلومات عليها. بينما كان البعض الآخر أكثر تعقيدًا ، ويمكن من خلاله إدارة التكوينات والمعلمات.
لكن هذه المجموعة غطت فقط مجموعة متواضعة 60 أوامر لينكس. وبالنظر إلى أنه ، في المتوسط ، هناك مئات الأوامر المتوفرة في معظم توزيعات جنو / لينكس ، فقد حان الوقت ، شيئًا فشيئًا ، لمعالجة أخرى مشابهة أو أكثر أهمية ، متقدمة أو متخصصة. مثل ال أمر Linux Auditd o "إطار عمل تدقيق Linux"، والتي سنتناولها اليوم في هذا المنشور.
ولكن ، قبل البدء في هذا المنشور المثير للاهتمام حول أمر Linux Auditd o "إطار عمل تدقيق Linux"نوصي المنشور السابق لقراءته لاحقًا:
إطار عمل تدقيق Linux: بيئة تدقيق قوية على Linux
ما هو أمر Auditd (إطار عمل تدقيق Linux)؟
باختصار ، يمكننا وصف قال أمر التدقيق كأداة برمجية (إطار عمل) التدقيق لنظام التشغيل Linux ، والذي يوفر ملف نظام تدقيق متوافق مع CAPP (ملف تعريف حماية الوصول الخاضع للرقابة ، باللغة الإنجليزية ، أو ملف تعريف حماية الوصول الخاضع للرقابة ، باللغة الإسبانية). اذا هي كذلك قادرة على جمع المعلومات بشكل موثوق حول أي حدث ذي صلة (أو لا) للأمان في نظام تشغيل Linux.
وبالتالي ، من المثالي أن تدعمنا عند صنعها مراقبة الإجراءات المنفذة في نظام التشغيل. بهذه الطريقة ، فإن الأمر Auditd أو ملف إطار عمل تدقيق Linux (إطار عمل تدقيق Linux أو LAF) قادر على مساعدتنا في الحفاظ عليه نظام التشغيل الأكثر أمانًا لدينا ، وذلك بفضل تزويدنا بالوسائل اللازمة لتحليل ما يحدث فيه بمستوى رائع من التفاصيل.
ومع ذلك ، وكما هو مفهوم ، لا يوفر ثقة إضافية بالنفس، أي أنه لا يحمي نظام التشغيل لدينا من عطل التعليمات البرمجية أو أي نوع من الاستغلال من قبل البرامج الضارة أو الهجمات المتطفلة. لكن، إنه مفيد لتتبع المشاكل المحتملة لمزيد من التحليل والتصحيح.بهذه الطريقة ، لاتخاذ إجراءات أمنية إضافية للتخفيف منها وحتى تجنبها. أخيرًا ، هو الجيش اللبناني إنه يعمل من خلال الاستماع إلى الأحداث التي أبلغت عنها النواة وتسجيلها في ملف السجل لتحليلها لاحقًا وإبلاغ المستخدم بها.
إنها أدوات مساحة المستخدم للتدقيق الأمني. تحتوي حزمة التدقيق على أدوات userland المساعدة لتخزين سجلات التدقيق التي تم إنشاؤها بواسطة نظام Linux kernel الفرعي لمراجعة الحسابات والبحث فيها ، بدءًا من الإصدار 2.6 وما بعده. حزمة Auditd (على دبيان)
كيف تقوم بتثبيت واستخدام الأمر Auditd؟
مثل معظم الأوامر ، عبر Terminal (CLI) ، يمكن تثبيته بسهولة وبشكل روتيني. باستخدام مدير الحزم الافتراضي أو المفضل لتوزيعة GNU / Linux.
على سبيل المثال، في دبيان جنو / لينكس والمشتقات ستكون:
sudo apt install auditd
في الوقت نفسه فيدورا جنو / لينكس وريد هات، ويكون ما شابه ذلك:
sudo dnf install auditd
sudo yum install audit
ولاستخدامه الأساسي والافتراضي ، من الضروري فقط تنفيذ أوامر الأوامر التالية:
- تحقق من حالة التنفيذ
sudo systemctl status audit
- تفعيل خدمة الخلفية
sudo systemctl enable auditd
- عرض القواعد المكونة حاليا
sudo auditctl -l
- إنشاء قواعد العرض (المراقبة) أو التحكم (syscall)
sudo auditctl -w /carpeta/archivo -p permisos-otorgados
sudo auditctl -a action,filter -S syscall -F field=value -k keyword
- إدارة جميع القواعد التي تم إنشاؤها
sudo vim /etc/audit/audit.rules
- ضع قائمة بجميع الأحداث التي تتعلق بعملية معينة وفقًا لمعرفها الشخصي أو الكلمة الرئيسية المرتبطة بها أو المسار أو الملف أو مكالمات النظام.
sudo ausearch -p PID
sudo ausearch -k keyword
sudo ausearch -f ruta
sudo ausearch -sc syscall
- إنشاء تقارير التدقيق
sudo aureport -n
sudo aureport --summary
sudo aureport -f --summary
sudo aureport -l --summary
sudo aureport --failed
- تتبع تنفيذ العملية
sudo autracet /ruta/comando
ومع ذلك، لمعرفة المزيد عنها نوصي باستكشاف الروابط التالية:
- Debian Manpages: Auditd
- الموقع الرسمي
- القسم الرسمي على جيثب
- ArchLinux Wiki: Auditd
- دليل أمان Red Hat Linux: تدقيق فصل النظام
- دليل أمان SUSE: فصل إطار عمل تدقيق Linux
- دليل OpenSUSE Security and Hardening: فصل تدقيق إطار عمل Linux
ملخص
باختصار ، نأمل أن يكون هذا المنشور متعلقًا بـ بيئة تدقيق قوية مدمجة في جنو / لينكس المعروفة باسم "إطار عمل تدقيق Linux"، والتي يتم توفيرها من خلال أمر Linux Auditdتسمح للكثير من السلطة تدقيق (فحص وتقييم) كل نشاط أنظمة التشغيل الحرة والمفتوحة على أساس جنو / لينكس. وبالتالي ، يمكنهم بسهولة اكتشاف أي تكوين أو نشاط غير طبيعي أو غير مناسب أو ضار وتصحيحه على الفور.
واخيرا لا تنسى المساهمة برأيك في موضوع اليوم عبر التعليقات. وإذا أعجبك هذا المنشور ، لا تتوقف عن مشاركتها مع الآخرين. تذكر أيضا قم بزيارة صفحتنا الرئيسية en «DesdeLinux» لاستكشاف المزيد من الأخبار ، والانضمام إلى قناتنا الرسمية برقية من DesdeLinux، غرب مجموعة لمزيد من المعلومات حول موضوع اليوم.