Linux Audit Framework: Auditd buyrug'i haqida hamma narsa

Bir necha kun oldin, fevral oyidan boshlab, biz a maxsus post ajoyib asosiy buyruqlar to'plami (asosiy va o'rta) GNU/Linux asosidagi ko'pgina bepul va ochiq operatsion tizimlarda mavjud. Binobarin, ba'zilari juda oddiy edi va qaysi papkalar va fayllar bilan manipulyatsiya qilinishi va ulardagi ma'lumotlar ko'rsatilishi mumkin edi. Boshqalari esa murakkabroq va qaysi konfiguratsiyalar va parametrlar bilan boshqarilishi mumkin edi.

Biroq, bu to'plam faqat kamtaronani qamrab oldi 60 ta Linux buyruqlari. Ko'pgina GNU/Linux tarqatishlarida o'rtacha hisobda yuzlab buyruqlar mavjudligini hisobga olsak, asta-sekin boshqa shunga o'xshash yoki muhimroq, ilg'or yoki ixtisoslashganlariga murojaat qilish vaqti keldi. Masalan, Linux Auditd buyrug'i o "Linux Audit Framework", biz bugun ushbu postda gaplashamiz.

Ammo, ushbu qiziqarli postni boshlashdan oldin Linux Auditd buyrug'i o "Linux Audit Framework", biz oldingi nashrni keyinroq o'qish uchun tavsiya qilamiz:

Tegishli maqola:

Linux buyruqlari: 2023 yilda o'zlashtirish uchun eng zarur

Linux Audit Framework: kuchli Linux audit muhiti

Auditd buyrug'i (Linux Audit Framework) nima?

Qisqacha aytganda, biz aytilganlarni tasvirlashimiz mumkin audit buyrug'i kabi, dasturiy vosita (ramka) ta'minlaydigan Linux uchun audit CAPP muvofiq audit tizimi (Boshqariladigan kirishni himoya qilish profili, ingliz tilida yoki boshqariladigan kirishni himoya qilish profili, ispan tilida). Shunday ekan ishonchli ma'lumotlarni to'plash imkoniyatiga ega Linux operatsion tizimida xavfsizlik uchun tegishli (yoki bo'lmagan) har qanday hodisa haqida.

Binobarin, qilishda bizni qo'llab-quvvatlash idealdir operatsion tizimda amalga oshirilgan harakatlarning monitoringi. Shu tarzda, Auditd buyrug'i yoki Linux Audit Framework (Linux Audit Framework yoki LAF) saqlab qolishimizga yordam beradi bizning eng xavfsiz operatsion tizimimiz, unda nima sodir bo'layotganini batafsil tahlil qilish uchun zarur vositalar bilan ta'minlaganimiz uchun rahmat.

Biroq, va tushunish kerakki, qo'shimcha o'ziga ishonchni ta'minlamaydi, ya'ni u bizning OT ni kodning noto'g'ri ishlashidan yoki zararli dastur yoki intruziv hujumlardan har qanday turdagi foydalanishdan himoya qilmaydi. Lekin, Keyinchalik tahlil qilish va tuzatish uchun potentsial muammolarni kuzatish uchun foydalidir., shunday qilib, ularni yumshatish va hatto ularni oldini olish uchun qo'shimcha xavfsizlik choralarini ko'rish. Nihoyat, u L.A.F. u yadro tomonidan xabar qilingan hodisalarni tinglash va keyinchalik tahlil qilish va foydalanuvchiga hisobot berish uchun ularni jurnal fayliga kiritish orqali ishlaydi.

Bu xavfsizlik auditi uchun foydalanuvchi kosmik vositalari. Audit paketi 2.6 versiyasidan boshlab Linux yadro auditi quyi tizimi tomonidan yaratilgan audit jurnallarini saqlash va qidirish uchun foydalanuvchi uchun yordamchi dasturlarni o'z ichiga oladi. auditd paketi (Debian-da)

Auditd buyrug'ini qanday o'rnatasiz va undan foydalanasiz?

Ko'pgina buyruqlar singari, Terminal (CLI) orqali uni osongina va muntazam ravishda o'rnatish mumkin. GNU/Linux Distro-ning standart yoki afzal qilingan paket menejeridan foydalanish.

Misol uchun, in Debian GNU / Linux va hosilalari quyidagilar bo'ladi:

sudo apt install auditd

Ayni paytda ichkarida Fedora GNU/Linux va Red Hatva shunga o'xshash bo'ladi:

sudo dnf install auditd

sudo yum install audit

Va undan asosiy va standart foydalanish uchun faqat quyidagi buyruq buyruqlarini bajarish kerak:

• Amalga oshirish holatini tekshiring

sudo systemctl status audit

• Fon xizmatini yoqish

sudo systemctl enable auditd

• Hozirda sozlangan qoidalarni ko'ring

sudo auditctl -l

• Ko'rsatish qoidalarini yaratish (soat) yoki boshqaruv (tizimli qo'ng'iroq)

sudo auditctl -w /carpeta/archivo -p permisos-otorgados

sudo auditctl -a action,filter -S syscall -F field=value -k keyword

• Barcha yaratilgan qoidalarni boshqaring

sudo vim /etc/audit/audit.rules

• Muayyan jarayon bilan bog'liq bo'lgan barcha hodisalarni PID, bog'langan kalit so'z, yo'l yoki fayl yoki tizim qo'ng'iroqlariga ko'ra sanab o'ting.
  

sudo ausearch -p PID

sudo ausearch -k keyword

sudo ausearch -f ruta

sudo ausearch -sc syscall

• Audit hisobotlarini yaratish

sudo aureport -n

sudo aureport --summary

sudo aureport -f --summary

sudo aureport -l --summary

sudo aureport --failed

• Jarayonning bajarilishini kuzatib boring

sudo autracet /ruta/comando

Biroq, u haqida ko'proq ma'lumot olish uchun Quyidagi havolalarni o'rganishni tavsiya etamiz:

• Debian Manpages: Auditd
• Rasmiy veb-sayt
• GitHub-dagi rasmiy bo'lim
• ArchLinux Wiki: Auditd
• Red Hat Linux Xavfsizlik bo'yicha qo'llanma: Tizim bo'limini tekshirish
• SUSE Xavfsizlik bo'yicha qo'llanma: Linux Audit Framework bo'limi
• OpenSUSE Xavfsizlik va mustahkamlash bo'yicha qo'llanma: Linux ramkalar auditi bo'limi

Resumen

Xulosa qilib aytganda, ushbu nashr bilan bog'liq deb umid qilamiz GNU/Linux-ga integratsiyalangan kuchli audit muhiti deb nomlanuvchi "Linux Audit Framework"orqali taqdim etiladi Linux Auditd buyrug'i, ko'pchilikka, kuchga ruxsat bering audit (tekshirish va baholash) GNU/Linux asosidagi erkin va ochiq operatsion tizimlarining barcha faoliyati. Shunday qilib, ular har qanday g'ayritabiiy, noto'g'ri yoki zararli konfiguratsiya yoki harakatni tezda aniqlaydi va tuzatadi.

Va nihoyat, bugungi mavzu bo'yicha o'z fikringizni sharhlar orqali bildirishni unutmang. Va agar sizga ushbu post yoqqan bo'lsa, uni boshqalar bilan bo'lishishni to'xtatmang. Shuningdek, unutmang bosh sahifamizga tashrif buyuring en «FromLinux» ko'proq yangiliklarni o'rganing va bizning rasmiy kanalimizga qo'shiling FromLinux-dan Telegram, G'arb guruh bugungi mavzu bo'yicha qo'shimcha ma'lumot olish uchun.