Linux аудитінің құрылымы: Auditd пәрмені туралы барлығы

Бірнеше күн бұрын ақпан айынан бастап біз а арнайы пост тамаша маңызды командалар жинағы (негізгі және аралық) GNU/Linux негізіндегі көптеген тегін және ашық операциялық жүйелерде қол жетімді. Тиісінше, кейбіреулері өте қарапайым болды және олардың көмегімен қалталар мен файлдарды өңдеуге болады және оларда ақпарат көрсетіледі. Басқалары күрделірек болды және конфигурациялар мен параметрлерді басқаруға болатын.

Бірақ бұл топтама қарапайымды ғана қамтыды 60 Linux командасы. GNU/Linux дистрибутивтерінің көпшілігінде орта есеппен жүздеген пәрмендер бар екенін ескерсек, бірте-бірте басқа ұқсас немесе маңыздырақ, жетілдірілген немесе мамандандырылған нұсқаларға жүгінетін уақыт келді. Мысалы, the Linux Auditd пәрмені o «Linux аудит құрылымы», біз бүгін осы мақалада қарастырамыз.

Бірақ, бұл туралы қызықты постты бастамас бұрын Linux Auditd пәрмені o «Linux аудит құрылымы», біз алдыңғы жарияланымды кейінірек оқуға ұсынамыз:

Тиісті мақала:

Linux командалары: 2023 жылы меңгеру үшін ең маңыздысы

Linux Audit Framework: қуатты Linux аудит ортасы

Auditd пәрмені (Linux Audit Framework) дегеніміз не?

Қысқаша айтқанда, біз сипаттай аламыз аудит командасы ретінде, бағдарламалық құрал (фреймворк) қамтамасыз ететін Linux үшін аудит CAPP сәйкес аудит жүйесі (Бақыланатын кіруді қорғау профилі, ағылшын тілінде немесе бақыланатын кіруді қорғау профилі, испан тілінде). Сондықтан солай ақпаратты сенімді түрде жинай алады Linux операциялық жүйесіндегі қауіпсіздікке қатысты (немесе емес) кез келген оқиға туралы.

Демек, жасау кезінде бізге қолдау көрсету өте қолайлы ОЖ-де орындалатын әрекеттерді бақылау. Осылайша, Auditd командасы немесе Linux аудитінің негізі (Linux Audit Framework немесе LAF) сақтауға көмектесе алады біздің ең қауіпсіз ОЖ, бізге ондағы не болып жатқанын егжей-тегжейлі талдау үшін қажетті құралдармен қамтамасыз ету арқасында.

Дегенмен, және түсінуге болатындай, өзіне қосымша сенімділікті қамтамасыз етпейді, яғни ол біздің ОЖ-ны кодтың дұрыс жұмыс істемеуінен немесе зиянды бағдарламалық жасақтама немесе интрузивті шабуылдар арқылы пайдаланудың кез келген түрінен қорғамайды. Бірақ, Бұл әрі қарай талдау және түзету үшін ықтимал проблемаларды қадағалау үшін пайдалы., осылайша, оларды жеңілдету және тіпті оларды болдырмау үшін қосымша қауіпсіздік шараларын қабылдау. Ақырында, ол ЛАФ ол ядро ​​хабарлаған оқиғаларды тыңдау және кейінірек талдау және пайдаланушыға есеп беру үшін оларды журнал файлына тіркеу арқылы жұмыс істейді.

Бұл қауіпсіздік аудитіне арналған пайдаланушы кеңістігі құралдары. Аудит пакеті 2.6 нұсқасынан бастап Linux ядросының аудит ішкі жүйесі жасаған аудит журналдарын сақтауға және іздеуге арналған пайдаланушы аймағының утилиталарын қамтиды. auditd пакеті (Debian бойынша)

Auditd командасын қалай орнатасыз және пайдаланасыз?

Көптеген пәрмендер сияқты, Терминал (CLI) арқылы оны оңай және жүйелі түрде орнатуға болады. GNU/Linux дистрибутивінің әдепкі немесе таңдаулы пакет менеджерін пайдалану.

Мысалы, в Debian GNU / Linux және туындылары:

sudo apt install auditd

Осы уақытта ішінде Fedora GNU/Linux және Red Hat, және оның ұқсастығы:

sudo dnf install auditd

sudo yum install audit

Ал оны негізгі және әдепкі пайдалану үшін тек келесі пәрмен бұйрықтарын орындау қажет:

• Орындалу күйін тексеріңіз

sudo systemctl status audit

• Фондық қызметті қосыңыз

sudo systemctl enable auditd

• Ағымдағы конфигурацияланған ережелерді қараңыз

sudo auditctl -l

• Дисплей ережелерін (сағат) немесе басқаруды (жүйелік қоңырау) жасау

sudo auditctl -w /carpeta/archivo -p permisos-otorgados

sudo auditctl -a action,filter -S syscall -F field=value -k keyword

• Барлық жасалған ережелерді басқарыңыз

sudo vim /etc/audit/audit.rules

• PID, байланысты кілт сөз, жол немесе файл немесе жүйелік қоңырауларға сәйкес белгілі бір процеске қатысты барлық оқиғаларды тізімдеңіз.
  

sudo ausearch -p PID

sudo ausearch -k keyword

sudo ausearch -f ruta

sudo ausearch -sc syscall

• Аудиторлық есептерді жасаңыз

sudo aureport -n

sudo aureport --summary

sudo aureport -f --summary

sudo aureport -l --summary

sudo aureport --failed

• Процестің орындалуын қадағалаңыз

sudo autracet /ruta/comando

Алайда, ол туралы көбірек білу үшін Біз келесі сілтемелерді қарауды ұсынамыз:

• Debian Manpages: Auditd
• Ресми веб-сайт
• GitHub-тағы ресми бөлім
• ArchLinux Wiki: Auditd
• Red Hat Linux қауіпсіздік нұсқаулығы: Жүйе тарауын тексеру
• SUSE қауіпсіздік нұсқаулығы: Linux аудитінің құрылымы тарауы
• OpenSUSE қауіпсіздік және күшейту нұсқаулығы: Linux Framework аудиті тарауы

Резюме

Қорытындылай келе, біз бұл жарияланымға қатысты деп үміттенеміз GNU/Linux жүйесінде біріктірілген қуатты аудит ортасы ретінде белгілі «Linux аудит құрылымы»арқылы қамтамасыз етілген Linux Auditd пәрмені, көп, күш мүмкіндік береді аудит (тексеру және бағалау) оның GNU/Linux негізіндегі еркін және ашық операциялық жүйелерінің барлық қызметі. Осылайша, олар кез келген аномальды, орынсыз немесе зиянды конфигурацияны немесе әрекетті тез анықтап, түзете алады.

Соңында, бүгінгі тақырып бойынша өз пікіріңізді түсініктемелер арқылы қосуды ұмытпаңыз. Ал егер сізге бұл пост ұнаса, оны басқалармен бөлісуді тоқтатпаңыз. Сондай-ақ, есте сақтаңыз біздің басты бетке кіріңіз en «FromLinux» көбірек жаңалықтарды зерттеп, ресми арнамызға қосылыңыз DesdeLinux-тен жеделхат, Батыс тобы бүгінгі тақырып бойынша қосымша ақпарат алу үшін.