Linux Audit Framework: все про команду Auditd

Jose Albert

6 хвилин

Linux Audit Framework: все про команду Auditd

Linux Audit Framework: все про команду Auditd

Кілька днів тому, починаючи з лютого, ми сіли на борт а спецпост чудовий збірник основних команд (базових і проміжних) доступний у більшості безкоштовних і відкритих операційних систем на основі GNU/Linux. Отже, деякі з них були дуже простими, з якими папками та файлами можна було маніпулювати, а також інформацію, що відображалася в них. У той час як інші були більш складними, і з ними можна було керувати конфігураціями та параметрами.

Але ця колекція охопила лише скромну частину 60 команд linux. І враховуючи, що в середньому в більшості дистрибутивів GNU/Linux доступні сотні команд, настав час потроху звернутись до інших подібних або більш важливих, розширених чи спеціалізованих. Такі як, Команда Linux Auditd o «Система аудиту Linux», про які ми сьогодні й поговоримо в цій публікації.

Команди Linux: найважливіші, які потрібно освоїти у 2023 році

Команди Linux: найважливіші, які потрібно освоїти у 2023 році

Але перш ніж розпочати цю цікаву публікацію про Команда Linux Auditd o «Система аудиту Linux», рекомендуємо для подальшого читання попередню публікацію:

Команди Linux: найважливіші, які потрібно освоїти у 2023 році
Пов'язана стаття:
Команди Linux: найважливіші, які потрібно освоїти у 2023 році

Linux Audit Framework: потужне середовище аудиту Linux

Linux Audit Framework: потужне середовище аудиту Linux

Що таке команда Auditd (Linux Audit Framework)?

Коротко ми могли б описати сказане ревізійна команда як програмний інструмент (фреймворк) аудит для Linux, який забезпечує a Система аудиту, сумісна з CAPP (Профіль захисту контрольованого доступу англійською мовою або профіль захисту контрольованого доступу іспанською мовою). Так і є здатний надійно збирати інформацію про будь-які події, що стосуються (чи ні) безпеки в операційній системі Linux.

Отже, ідеально підтримувати нас під час створення моніторинг дій, виконуваних в ОС. Таким чином, команда Auditd або Система аудиту Linux (Linux Audit Framework або LAF) може допомогти нам підтримувати наша найбезпечніша ОС, завдяки тому, що ми маємо необхідні засоби для аналізу того, що в ній відбувається з великим рівнем деталізації.

Однак, як слід розуміти, не надає додаткової впевненості в собі, тобто він не захищає нашу ОС від несправності коду або будь-якого типу експлуатації за допомогою зловмисного програмного забезпечення чи інтрузивних атак. але, Це корисно для відстеження потенційних проблем для подальшого аналізу та виправлення., щоб таким чином вжити додаткових заходів безпеки, щоб пом’якшити їх і навіть уникнути. Нарешті він ЛАФ він працює, прослуховуючи події, про які повідомляє ядро, і записує їх у файл журналу для подальшого аналізу та звітування користувачеві.

Це інструменти простору користувача для аудиту безпеки. Пакет аудиту містить утиліти користувача для зберігання та пошуку журналів аудиту, створених підсистемою аудиту ядра Linux, починаючи з версії 2.6. пакет auditd (на Debian)

Як встановити та використовувати команду Auditd?

Як встановити та використовувати команду Auditd?

Як і більшість команд, через термінал (CLI), його можна легко та регулярно інсталювати. за допомогою типового або бажаного менеджера пакунків вашого дистрибутива GNU/Linux.

Наприклад, в Debian GNU / Linux і похідні будуть:

sudo apt install auditd

Тим часом в Fedora GNU/Linux і Red Hat, і це буде подібно до:

sudo dnf install auditd
sudo yum install audit

І для його основного використання та використання за замовчуванням необхідно лише виконати такі команди:

  • Перевірте стан виконання
sudo systemctl status audit
  • Увімкнути фоновий сервіс
sudo systemctl enable auditd
  • Переглянути поточні налаштовані правила
sudo auditctl -l
  • Створення правил відображення (watch) або керування (syscall)
sudo auditctl -w /carpeta/archivo -p permisos-otorgados
sudo auditctl -a action,filter -S syscall -F field=value -k keyword
  • Керуйте всіма створеними правилами
sudo vim /etc/audit/audit.rules
  • Перелічіть усі події, пов’язані з певним процесом, відповідно до його PID, пов’язаного ключового слова, шляху, файлу чи системних викликів.
sudo ausearch -p PID
sudo ausearch -k keyword
sudo ausearch -f ruta
sudo ausearch -sc syscall
  • Створення аудиторських звітів
sudo aureport -n
sudo aureport --summary
sudo aureport -f --summary
sudo aureport -l --summary
sudo aureport --failed
  • Відстеження виконання процесу
sudo autracet /ruta/comando

Проте, щоб дізнатися більше про це Рекомендуємо ознайомитись з такими посиланнями:

Підсумок: банерний пост 2021

Резюме

Таким чином, ми сподіваємося, що ця публікація стосується потужне середовище аудиту, інтегроване в GNU/Linux відомий як «Система аудиту Linux», який надається через Команда Linux Auditd, дозволяють багато, сила аудит (перевірка та оцінка) всю діяльність своїх вільних і відкритих операційних систем на базі GNU/Linux. Таким чином, вони можуть легко виявити та оперативно виправити будь-яку аномальну, невідповідну або шкідливу конфігурацію чи діяльність.

Нарешті, не забудьте внести свою думку щодо сьогоднішньої теми за допомогою коментарів. І якщо вам сподобався цей пост, не припиняйте ділитися нею з іншими. Крім того, пам'ятайте відвідайте нашу домашню сторінку en «FromLinux» щоб дізнатися більше новин, і приєднайтеся до нашого офіційного каналу Телеграма від DesdeLinux, Захід група щоб дізнатися більше про сьогоднішню тему.