Чаҳорчӯбаи аудити Linux: Ҳама дар бораи фармони Auditd

Чанд руз пеш аз моди февраль cap карда, ба савор шудем пости махсус як бузург маҷмӯи фармонҳои асосӣ (асосӣ ва миёна) дар аксари системаҳои оператсионии озод ва кушода дар асоси GNU/Linux дастрас аст. Аз ин рӯ, баъзеҳо хеле содда буданд ва бо кадом ҷузвдонҳо ва файлҳо метавонанд идора карда шаванд ва маълумот дар онҳо намоиш дода мешуд. Дар ҳоле ки дигарон мураккабтар буданд ва бо кадом конфигуратсияҳо ва параметрҳоро идора кардан мумкин буд.

Аммо, ин маҷмӯа танҳо хоксорро фаро гирифт 60 фармонҳои Linux. Ва бо назардошти он, ки ба ҳисоби миёна дар аксари тақсимоти GNU/Linux садҳо фармонҳо мавҷуданд, вақти он расидааст, ки тадриҷан ба дигар фармонҳои шабеҳ ё муҳимтар, пешрафта ё махсус муроҷиат кунем. Ба монанди, ба Фармони аудити Linux o "Чорчӯбаи аудити Linux", ки мо имрӯз дар ин мақола муроҷиат хоҳем кард.

Аммо, пеш аз оғози ин мақолаи ҷолиб дар бораи Фармони аудити Linux o "Чорчӯбаи аудити Linux", мо нашрияи қаблиро барои хондани баъдӣ тавсия медиҳем:

Мақолаи марбут:

Фармонҳои Linux: Аз ҳама муҳимтарин барои азхудкунӣ дар соли 2023

Чаҳорчӯбаи аудити Linux: Муҳити пурқуввати аудити Linux

Фармони Auditd (Чаҳорчӯби аудити Linux) чист?

Ба таври мухтасар, мо метавонем тавсиф кунем фармони аудит ҳамчун воситаи нармафзор (чаҳорчӯба) аудит барои Linux, ки як Системаи аудити мувофиқи CAPP (Профили муҳофизати дастрасии назоратшаванда, ба забони англисӣ ё Профили муҳофизати дастрасии назоратшаванда, бо забони испанӣ). Ҳамин тавр аст қодир ба ҷамъ овардани маълумот боэътимод дар бораи ҳама гуна ҳодисаҳои марбут ба амният дар системаи амалиётии Linux.

Аз ин рӯ, беҳтарин аст, ки моро дастгирӣ ҳангоми сохтани мониторинги амалҳое, ки дар ОС анҷом дода мешаванд. Бо ин роҳ, фармони Auditd ё Чаҳорчӯбаи аудити Linux (Чорчӯбаи аудити Linux ё LAF) қодир аст, ки ба мо нигоҳ дошта шавад OS бехатартарин мо, ба шарофати таъмини мо бо воситаҳои зарурӣ барои таҳлили он чӣ дар он бо сатҳи баланди тафсилот рӯй медиҳад.

Аммо, ва тавре ки бояд фаҳмид, боварии иловагиро таъмин намекунад, яъне он ОС-и моро аз корношоямии код ё ҳама гуна истисмори нармафзори шубҳанок ё ҳамлаҳои интрузивӣ муҳофизат намекунад. Аммо, Он барои пайгирии мушкилоти эҳтимолӣ барои таҳлил ва ислоҳи минбаъда муфид аст., бо ин роҳ, чораҳои иловагии амниятӣ барои сабук кардани онҳо ва ҳатто пешгирӣ кардани онҳо. Дар охир, вай ЛАФ он тавассути гӯш кардани рӯйдодҳои аз ҷониби ядро ​​гузоришшуда ва сабти онҳо ба файли гузориш барои таҳлили баъдӣ ва гузориш додан ба корбар кор мекунад.

Ин як воситаи фазои корбар барои аудити амният аст. Маҷмӯи аудит дорои утилитаҳои корбар барои нигоҳдорӣ ва ҷустуҷӯи гузоришҳои аудити аз ҷониби зерсистемаи аудити ядрои Linux тавлидшуда аз версияи 2.6. бастаи auditd (дар Debian)

Фармони Auditd -ро чӣ гуна насб ва истифода мебаред?

Мисли аксари фармонҳо, тавассути Terminal (CLI), он метавонад ба осонӣ ва мунтазам насб карда шавад. бо истифода аз менеҷери бастаи пешфарз ё интихобшудаи GNU/Linux Distro-и худ.

Масалан, дар Debian GNU / Linux ва ҳосилаҳои зерин хоҳанд буд:

sudo apt install auditd

Дар ҳамин ҳол дар Fedora GNU/Linux ва Red Hat, ва шабеҳи он чунин хоҳад буд:

sudo dnf install auditd

sudo yum install audit

Ва барои истифодаи асосӣ ва пешфарз, танҳо иҷрои фармонҳои зерин лозим аст:

• Ҳолати иҷроро тафтиш кунед

sudo systemctl status audit

• Хидмати заминаро фаъол созед

sudo systemctl enable auditd

• Қоидаҳои дар айни замон танзимшударо бинед

sudo auditctl -l

• Эҷоди қоидаҳои намоиш (тамошо) ё назорат (система)

sudo auditctl -w /carpeta/archivo -p permisos-otorgados

sudo auditctl -a action,filter -S syscall -F field=value -k keyword

• Ҳамаи қоидаҳои сохташударо идора кунед

sudo vim /etc/audit/audit.rules

• Ҳама рӯйдодҳоро, ки бо як раванди мушаххас мувофиқи PID, калимаи калидии алоқаманд, роҳ ё зангҳои файл ё система алоқаманданд, номбар кунед.
  

sudo ausearch -p PID

sudo ausearch -k keyword

sudo ausearch -f ruta

sudo ausearch -sc syscall

• Ҳисоботҳои аудиторӣ эҷод кунед

sudo aureport -n

sudo aureport --summary

sudo aureport -f --summary

sudo aureport -l --summary

sudo aureport --failed

• Иҷрои равандро пайгирӣ кунед

sudo autracet /ruta/comando

Аммо, то дар бораи он бештар маълумот гиред Мо тавсия медиҳем, ки истиноди зеринро омӯзед:

• Manpages Debian: Auditd
• Вебсайти расмӣ
• Бахши расмӣ дар GitHub
• ArchLinux Wiki: Аудитд
• Дастури амнияти Red Hat Linux: Санҷиши боби система
• Дастури амнияти SUSE: Боби чаҳорчӯбаи аудити Linux
• Дастури амният ва мустаҳкамкунии OpenSUSE: Боби аудити чаҳорчӯбаи Linux

Resumen

Хулоса, мо умедворем, ки ин нашрия ба муҳити пурқуввати аудиторӣ, ки дар GNU/Linux муттаҳид шудааст маълум аст "Чорчӯбаи аудити Linux", ки тавассути он таъмин карда мешавад Фармони аудити Linux, имкон медиҳад, ки бисёр, қудрат аудит (тафтиш ва арзёбӣ) тамоми фаъолияти системаҳои оператсионии озод ва кушодаи он дар асоси GNU/Linux. Ва ҳамин тавр, онҳо метавонанд ба осонӣ ҳама гуна конфигуратсия ё фаъолияти ғайримуқаррарӣ, номуносиб ё зарароварро зуд ошкор ва ислоҳ кунанд.

Дар охир, фаромӯш накунед, ки фикри худро дар мавзӯи имрӯза тавассути шарҳҳо баён кунед. Ва агар ин мақола ба шумо писанд омада бошад, мубодилаи онро бо дигарон бас накунед. Инчунин, дар хотир доред ба саҳифаи хонагии мо ташриф оред en «Аз Linux» Барои омӯхтани хабарҳои бештар ва ба канали расмии мо ҳамроҳ шавед Телеграмма аз FromLinux, Ғарб гурӯҳ барои маълумоти бештар дар бораи мавзӯи имрӯза.