Auditd ist die Userspace -Komponente des Linux -Prüfungssystems. Auditd ist kurz für Linux Audit -Daemon. In Linux wird Dämon als Hintergrundausgangsservice bezeichnet und am Ende des Anwendungsdienstes befindet sich ein 'D', wenn er im Hintergrund ausgeführt wird. Die Aufgabe von Auditd besteht darin, Protokolldateien der Prüfung als Hintergrunddienst auf die Festplatte zu sammeln und zu schreiben
Warum Auditd verwenden??
Dieser Linux -Dienst bietet dem Benutzer einen Aspekt der Sicherheitsprüfungen unter Linux. Die Protokolle, die von Auditd gesammelt und gespeichert werden, handelt Erhalten Sie Zugriff auf diese Art von Informationen in einer vereinfachten und minimierten Form, die als Protokolle bezeichnet werden. Wenn das System eines Benutzers eine ungewöhnliche Aktivität gegeben hat, kann sein System kompromittiert wurden, dann kann der Benutzer zurückverfolgen und sehen, wie sein System kompromittiert wurde, und dies kann auch in vielen Fällen für die reagierenden Vorfälle helfen.
Grundlagen von Auditd
Der Benutzer kann die gespeicherten Protokolle durchsuchen Auditd Verwendung Aussearch Und Aureport Versorgungsunternehmen. Die Prüfungsregeln befinden sich im Verzeichnis, /etc/audit/prüfung.Regeln das kann durch gelesen werden Auditctl Beim Start. Außerdem können diese Regeln auch verwendet werden Auditctl. Es ist eine Prüfungskonfigurationsdatei zur Verfügung unter /etc/audit/prüfungd.Conf.
Installation
In Debian-basierten Linux-Verteilungen kann der folgende Befehl zur Installation von Auditd verwendet werden, falls dies nicht bereits installiert ist:
Ubuntu@ubuntu: ~ $ sudo apt-Get Install Auditd Audispd-Plugins
Grundbefehl für Auditd:
Zum Starten von Auditd:
$ Service Auditd Start
Zum Anhalten von Auditd:
$ Service Auditd Stop
Zum Neustart von Auditd:
$ Service Auditd Neustart
Zum Abholen von Auditd Status:
$ Service Auditd Status
Für bedingte Neustart -Auditd:
$ Service Auditd Condrestart
Für den Reload Auditd Service:
$ Service Auditd Reload
Für rotierende Auditd -Protokolle:
$ Service Auditd drehen
Zur Überprüfung der Ausgabe von Auditd -Konfigurationen:
$ chkconfig -list auditd
Welche Informationen können in Protokollen aufgezeichnet werden?
Andere Dienstprogramme im Zusammenhang mit der Prüfung:
Einige andere wichtige Versorgungsunternehmen im Zusammenhang mit der Prüfung sind unten angegeben. Wir werden nur einige von ihnen ausführlich besprechen, die üblicherweise verwendet werden.
Dieses Dienstprogramm wird verwendet, um den Verhaltensstatus der Prüfungsstatus zu erhalten, die Prüfungskonfigurationen zu setzen, zu ändern oder zu aktualisieren. Syntax für die Auditctl -Verwendung ist:
Auditctl [Optionen]
Im Folgenden finden Sie die Optionen oder Flaggen, die größtenteils verwendet werden:
-w
So fügen Sie einer Datei eine Uhr hinzu, was bedeutet, dass das Audit diese Datei im Auge behält und Benutzeraktivitäten zu dieser Datei zu Protokollen hinzufügt.
-k
So geben Sie einen Filterschlüssel oder einen Namen in die angegebene Konfiguration ein.
-P
Fügen Sie einen Filter hinzu, der auf der Erlaubnis von Dateien basiert.
-S
Unterdrückung von Protokollaufnahmen für eine Konfiguration.
-A
So erhalten Sie alle Ergebnisse für die angegebene Eingabe dieser Option.
Zum Beispiel, um eine Uhr auf /etc /Shadow-Datei mit gefiltertem Keyword "Shadow-Key" und mit Berechtigungen als "rwxa" hinzuzufügen:
$ auditctl -W /etc /Shadow -K Shadow -Datei -p rwxa
Dieses Dienstprogramm wird zur Generierung von Prüfprotokollzusammenfassungsberichten aus den aufgezeichneten Protokollen verwendet. Der Bericht Eingabe kann auch RAW -Protokolldaten sein, die mit Stdin an Aureport gespeist werden. Grundlegende Syntax für die Verwendung von Aureport ist:
Aureport [Optionen]
Einige der grundlegenden und am häufigsten verwendeten Aureport -Optionen sind wie unter:
-k
So generieren Sie einen Bericht basierend auf den in den Prüfungsregeln oder -konfigurationen angegebenen Schlüssel.
-ich
Zeigen Sie nicht numerische Informationen wie die ID an und z.
-au
Um den Authentifizierungsversuchen für alle Benutzer zu erstellen.
-l
So generieren Sie Bericht, in dem die Anmeldeinformationen der Benutzer angezeigt werden.
Dieses Dienstprogramm sucht Tool für Prüfungsprotokolle oder Ereignisse. Die Suchergebnisse werden im Gegenzug auf basierend auf verschiedenen Suchanfragen angezeigt. Wie Aureport können diese Suchabfragen auch RAW -Protokolldaten sein, die mit STDIN der Ausearch übertragen werden. Standardmäßig fragt Ausearch die angegebenen Protokolle ab /var/log/pdit/prüfung.Protokoll, Dies kann direkt angezeigt oder als Tippbefehl wie unten angezeigt werden:
$ cat/var/log/pdit/prüfung.Protokoll
Die einfache Syntax für die Verwendung von AuSearch ist:
Aussearch [Optionen]
Außerdem gibt es bestimmte Flags, die mit Aussarch -Befehl verwendet werden können. Einige häufig verwendete Flags sind:
-P
Dieses Flag wird verwendet, um Prozess -IDs einzugeben, um Abfragen nach Protokollen zu suchen, e.G., AUSEARCH -P 6171.
-M
Dieses Flag wird verwendet, um nach bestimmten Zeichenfolgen in Protokolldateien zu suchen, e.G., AuSearch -m User_login.
-SV
Diese Option ist Erfolgswerte, wenn der Benutzer den Erfolgswert für einen bestimmten Teil der Protokolle abfragt. Diese Flagge wird oft mit -M -Flaggen verwendet, wie z Ausearch -m User_login -sv Nein.
-ua
Diese Option wird verwendet, um einen Benutzernamenfilter für die Suchabfrage E einzugeben, e.G., AUSEARCH -UA Wurzel.
-ts
Diese Option wird verwendet, um einen Zeitstempelfilter für die Suchabfrage E einzugeben, e.G., AuSearch -ts gestern.
AUDGEPD:
Dieses Dienstprogramm wird als Daemon zum Multiplexing von Ereignissen verwendet.
Autrace:
Dieses Dienstprogramm wird zum Verfolgen von Binärdateien mithilfe von Prüfungskomponenten verwendet.
Aulast:
Dieses Dienstprogramm zeigt die neuesten Aktivitäten, die in Protokollen aufgezeichnet wurden.
Aulastlog:
Dieses Dienstprogramm zeigt die neuesten Anmeldeinformationen aller Benutzer oder eines bestimmten Benutzer.
Ausyscall:
Dieses Dienstprogramm ermöglicht die Zuordnung von Systemanrufnamen und Zahlen.
Auvirt:
Dieses Dienstprogramm zeigt die Prüfungsinformationen speziell für die virtuellen Maschinen an.
Obwohl Linux-Auditing ein relativ erweitertes Thema für nicht-technische Linux-Benutzer ist, aber die Benutzer selbst entscheiden lassen, bietet Linux an. Im Gegensatz zu anderen Betriebssystemen hält Linux -Betriebssysteme ihre Benutzer tendenziell in der Kontrolle über ihre eigene Umgebung. Als Anfänger oder nicht-technischer Benutzer sollte man immer für das eigene Wachstum lernen. Ich hoffe, dieser Artikel hat Ihnen geholfen, etwas Neues und Nützliches zu lernen.