Linux Audit Framework: הכל על פקודת Auditd
לפני מספר ימים, החל מפברואר, עלינו על א פוסט מיוחד אחד נהדר אוסף של פקודות חיוניות (בסיסיות ובינוניות) זמין ברוב מערכות ההפעלה החינמיות והפתוחות המבוססות על GNU/Linux. כתוצאה מכך, חלקם היו פשוטים מאוד, ואיתם ניתן היה לתפעל תיקיות וקבצים ולהציג עליהם מידע. בעוד שאחרים היו מורכבים יותר, ואיתם ניתן היה לנהל תצורות ופרמטרים.
אבל, אוסף זה כיסת רק צנוע 60 פקודות לינוקס. ובהתחשב בעובדה שבממוצע, יש מאות פקודות זמינות ברוב ההפצות של GNU/Linux, הגיע הזמן, לאט לאט, לטפל באחרות דומות או חשובות יותר, מתקדמות או מיוחדות. כמו ה Linux Auditd Command o "מסגרת ביקורת לינוקס", שאליו נתייחס היום בפוסט זה.
פקודות לינוקס: החיוניות ביותר לשליטה בשנת 2023
אבל, לפני שמתחילים את הפוסט המעניין הזה על Linux Auditd Command o "מסגרת ביקורת לינוקס", אנו ממליצים על הפרסום הקודם, לקריאה מאוחרת יותר:
Linux Audit Framework: סביבת ביקורת חזקה של לינוקס
מהי הפקודה Auditd (מסגרת ביקורת Linux)?
בקצרה, נוכל לתאר אמר פיקוד ביקורת כמו, כלי תוכנה (מסגרת) ביקורת עבור לינוקס, המספקת א מערכת ביקורת תואמת CAPP (פרופיל הגנת גישה מבוקרת, באנגלית, או פרופיל הגנה על גישה מבוקרת, בספרדית). ככה זה מסוגל לאסוף מידע בצורה מהימנה על כל אירוע רלוונטי (או לא) לאבטחה במערכת הפעלה לינוקס.
כתוצאה מכך, זה אידיאלי לתמוך בנו בעת ביצוע ניטור הפעולות המתבצעות במערכת הפעלה. בדרך זו, פקודת Auditd או ה Linux Audit Framework (Linux Audit Framework או LAF) מסוגל לעזור לנו לשמור מערכת ההפעלה המאובטחת ביותר שלנו, הודות לספק לנו את האמצעים הדרושים לנתח מה קורה בה ברמת פירוט מעולה.
עם זאת, וכפי שיש להבין, אינו מספק ביטחון עצמי נוסף, כלומר, הוא אינו מגן על מערכת ההפעלה שלנו מפני תקלות קוד או כל סוג של ניצול על ידי תוכנה זדונית או התקפות פולשניות. אבל, זה שימושי למעקב אחר בעיות אפשריות לניתוח ותיקון נוסף., באופן כזה, לנקוט באמצעי אבטחה נוספים כדי למתן אותם ואף להימנע מהם. לבסוף, הוא L.A.F. זה עובד על ידי האזנה לאירועים שדווחו על ידי הקרנל וכניסתם לקובץ יומן לניתוח מאוחר יותר ודיווח חזרה למשתמש.
זהו כלי מרחב משתמש לביקורת אבטחה. חבילת הביקורת מכילה את עזרי ה-Userland לאחסון וחיפוש ביומני הביקורת שנוצרו על ידי תת-מערכת הביקורת של ליבת לינוקס, מגרסה 2.6 ואילך. חבילת ביקורת (בדביאן)
כיצד מתקינים ומשתמשים בפקודה Auditd?
כמו רוב הפקודות, באמצעות מסוף (CLI), ניתן להתקין אותו בקלות ובאופן שגרתי. באמצעות ברירת המחדל או מנהל החבילות המועדף של ה-GNU/Linux Distro שלך.
לדוגמה, ב דביאן גנו / לינוקס ונגזרות יהיו:
sudo apt install auditdבנתיים ב Fedora GNU/Linux ו-Red Hat, והדומה לו יהיה:
sudo dnf install auditdsudo yum install auditולשימוש הבסיסי וברירת המחדל שלו, יש צורך רק לבצע את פקודות הפקודה הבאות:
- בדוק את מצב הביצוע
sudo systemctl status audit- הפעל שירות רקע
sudo systemctl enable auditd- הצג את הכללים המוגדרים כעת
sudo auditctl -l- יצירת כללי תצוגה (שעון) או שליטה (syscall)
sudo auditctl -w /carpeta/archivo -p permisos-otorgadossudo auditctl -a action,filter -S syscall -F field=value -k keyword- נהל את כל הכללים שנוצרו
sudo vim /etc/audit/audit.rules- רשום את כל האירועים שקשורים לתהליך ספציפי לפי ה-PID שלו, מילת המפתח, הנתיב או הקובץ או קריאות המערכת המשויכות לו.
sudo ausearch -p PIDsudo ausearch -k keywordsudo ausearch -f rutasudo ausearch -sc syscall- הפקת דוחות ביקורת
sudo aureport -nsudo aureport --summarysudo aureport -f --summarysudo aureport -l --summarysudo aureport --failed- עקבו אחר ביצוע תהליך
sudo autracet /ruta/comandoעם זאת, כדי ללמוד עוד על זה אנו ממליצים לבחון את הקישורים הבאים:
- Debian Manpages: Auditd
- אתר רשמי
- המדור הרשמי ב- GitHub
- ArchLinux Wiki: Auditd
- מדריך האבטחה של Red Hat Linux: ביקורת פרק המערכת
- מדריך אבטחה של SUSE: פרק מסגרת הביקורת של לינוקס
- OpenSUSE מדריך אבטחה והקשחה: פרק ביקורת מסגרת לינוקס
תקציר
לסיכום, אנו מקווים שפרסום זה התייחס ל סביבת ביקורת חזקה משולבת ב-GNU/Linux ידוע כ "מסגרת ביקורת לינוקס", אשר מסופק באמצעות ה Linux Auditd Command, לאפשר לרבים, את הכוח ביקורת (לבחון ולהעריך) כל הפעילות של מערכות ההפעלה החינמיות והפתוחות שלה המבוססות על GNU/Linux. וכך, הם יכולים לזהות ולתקן בקלות כל תצורה או פעילות חריגה, בלתי הולמת או מזיקה באופן מיידי.
לבסוף, אל תשכח לתרום את דעתך על הנושא של היום, באמצעות הערות. ואם אהבתם את הפוסט הזה, אל תפסיק לשתף אותו עם אחרים. כמו כן, זכור בקר בדף הבית שלנו en «DesdeLinux» כדי לחקור חדשות נוספות, ולהצטרף לערוץ הרשמי שלנו של מברק של DesdeLinux, מערב קבוצה למידע נוסף על הנושא של היום.