Linux Audit Framework: Alles über den Auditd-Befehl

Linux Audit Framework: Alles über den Auditd-Befehl

Linux Audit Framework: Alles über den Auditd-Befehl

Vor ein paar Tagen, ab Februar, sind wir an Bord gegangen Sonderposten ein toller Sammlung wesentlicher Befehle (Grund- und Mittelstufe) verfügbar auf den meisten freien und offenen Betriebssystemen basierend auf GNU/Linux. Folglich waren einige sehr einfach und mit denen Ordner und Dateien manipuliert und Informationen darüber angezeigt werden konnten. Während andere komplexer waren und mit denen Konfigurationen und Parameter verwaltet werden konnten.

Aber diese Sammlung deckte nur einen bescheidenen Umfang ab 60 Linux-Befehle. Und angesichts der Tatsache, dass in den meisten GNU/Linux-Distributionen im Durchschnitt Hunderte von Befehlen verfügbar sind, ist es an der Zeit, sich nach und nach mit anderen ähnlichen oder wichtigeren, fortgeschrittenen oder spezialisierten Befehlen zu befassen. So wie die Linux Auditd-Befehl o "Linux-Audit-Framework", die wir heute in diesem Beitrag ansprechen werden.

Linux-Befehle: Die wichtigsten, die es im Jahr 2023 zu meistern gilt

Linux-Befehle: Die wichtigsten, die es im Jahr 2023 zu meistern gilt

Aber bevor Sie mit diesem interessanten Beitrag über die beginnen Linux Auditd-Befehl o "Linux-Audit-Framework", empfehlen wir die vorherige Veröffentlichung zum späteren Nachlesen:

Linux-Befehle: Die wichtigsten, die es im Jahr 2023 zu meistern gilt
Verwandte Artikel:
Linux-Befehle: Die wichtigsten, die es im Jahr 2023 zu meistern gilt

Linux-Audit-Framework: Leistungsstarke Linux-Audit-Umgebung

Linux-Audit-Framework: Leistungsstarke Linux-Audit-Umgebung

Was ist der Auditd-Befehl (Linux Audit Framework)?

Kurz könnten wir das Gesagte beschreiben Audit-Befehl as, ein Softwaretool (Framework) Auditing für Linux, das a CAPP-konformes Auditsystem (Controlled Access Protection Profile, auf Englisch, oder Controlled Access Protection Profile, auf Spanisch). So ist es zuverlässig Informationen sammeln können über alle Ereignisse, die für die Sicherheit in einem Linux-Betriebssystem relevant (oder nicht) sind.

Daher ist es ideal, uns bei der Herstellung zu unterstützen Überwachung der in einem OS durchgeführten Aktionen. Auf diese Weise wird der Auditd-Befehl oder die Linux-Audit-Framework (Linux Audit Framework oder LAF) kann uns bei der Pflege helfen unser sicherstes Betriebssystem, da es uns die notwendigen Mittel zur Verfügung stellt, um mit einem hohen Detaillierungsgrad zu analysieren, was darin passiert.

Jedoch, und wie zu verstehen ist, vermittelt kein zusätzliches Selbstbewusstsein, das heißt, es schützt unser Betriebssystem nicht vor Fehlfunktionen des Codes oder jeglicher Art von Ausnutzung durch bösartige Software oder aufdringliche Angriffe. Aber, Es ist nützlich, um potenzielle Probleme zur weiteren Analyse und Korrektur aufzuspüren., um zusätzliche Sicherheitsmaßnahmen zu ergreifen, um sie zu mildern und sogar zu vermeiden. Endlich, das LAF Es funktioniert, indem es auf vom Kernel gemeldete Ereignisse lauscht und sie zur späteren Analyse und Rückmeldung an den Benutzer in einer Protokolldatei protokolliert.

Es ist ein User-Space-Tool für die Sicherheitsüberprüfung. Das Audit-Paket enthält die Userland-Dienstprogramme zum Speichern und Durchsuchen der Audit-Protokolle, die vom Linux-Kernel-Audit-Subsystem ab Version 2.6 generiert werden. auditd-Paket (unter Debian)

Wie installieren und verwenden Sie den Befehl Auditd?

Wie installieren und verwenden Sie den Befehl Auditd?

Wie die meisten Befehle kann es über Terminal (CLI) einfach und routinemäßig installiert werden. Verwenden Sie den Standard- oder bevorzugten Paketmanager Ihrer GNU/Linux-Distribution.

Zum Beispiel wird in Debian GNU / Linux und Derivate wären:

sudo apt install auditd

Währenddessen in Fedora GNU/Linux und Red Hat, und ähnlich wäre:

sudo dnf install auditd
sudo yum install audit

Und für seine grundlegende und standardmäßige Verwendung müssen nur die folgenden Befehlsbefehle ausgeführt werden:

  • Ausführungsstatus prüfen
sudo systemctl status audit
  • Hintergrunddienst aktivieren
sudo systemctl enable auditd
  • Zeigen Sie die aktuell konfigurierten Regeln an
sudo auditctl -l
  • Erstellung von Anzeigeregeln (watch) oder Steuerung (syscall)
sudo auditctl -w /carpeta/archivo -p permisos-otorgados
sudo auditctl -a action,filter -S syscall -F field=value -k keyword
  • Verwalten Sie alle erstellten Regeln
sudo vim /etc/audit/audit.rules
  • Listen Sie alle Ereignisse auf, die mit einem bestimmten Prozess gemäß seiner PID, dem zugehörigen Schlüsselwort, dem Pfad oder den Datei- oder Systemaufrufen zu tun haben.
sudo ausearch -p PID
sudo ausearch -k keyword
sudo ausearch -f ruta
sudo ausearch -sc syscall
  • Prüfberichte erstellen
sudo aureport -n
sudo aureport --summary
sudo aureport -f --summary
sudo aureport -l --summary
sudo aureport --failed
  • Verfolgen Sie die Ausführung eines Prozesses
sudo autracet /ruta/comando

Jedoch um mehr darüber zu erfahren Wir empfehlen Ihnen, die folgenden Links zu erkunden:

Zusammenfassung: Bannerpost 2021

Zusammenfassung

Zusammenfassend hoffen wir, dass diese Veröffentlichung im Zusammenhang mit der leistungsstarke Prüfumgebung integriert in GNU/Linux sogenannte "Linux-Audit-Framework", die über bereitgestellt wird Linux Auditd-Befehl, erlauben viele, die Macht Audit (prüfen und bewerten) alle Aktivitäten seiner freien und offenen Betriebssysteme, die auf GNU/Linux basieren. Auf diese Weise können sie anomale, unangemessene oder schädliche Konfigurationen oder Aktivitäten schnell erkennen und korrigieren.

Vergessen Sie schließlich nicht, Ihre Meinung zum heutigen Thema über Kommentare beizutragen. Und wenn dir dieser Beitrag gefallen hat, hör nicht auf, es mit anderen zu teilen. Denken Sie auch daran Besuchen Sie unsere Homepage en «DesdeLinux» um mehr Neuigkeiten zu erfahren, und treten Sie unserem offiziellen Kanal von bei Telegramm von DesdeLinux, West Gruppe für weitere Informationen zum heutigen Thema.


Schreiben Sie den ersten Kommentar

Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.