Sicurezza

Tutorial Linux controllato Audit

Tutorial Linux controllato Audit

Cos'è Auditd?

Auditd è il componente in spazio utente del sistema di auditing di Linux. Auditd è l'abbreviazione di Linux Audit Daemon. In Linux, il demone viene chiamato servizio in esecuzione in background e c'è una "d" collegata alla fine del servizio dell'applicazione mentre viene eseguito in background. Il compito di auditd è quello di raccogliere e scrivere i file di registro di audit sul disco come servizio in background

Perché usare auditd?

Questo servizio Linux fornisce all'utente un aspetto di controllo della sicurezza in Linux. I log che vengono raccolti e salvati da auditd, sono diverse attività eseguite in ambiente Linux dall'utente e se c'è un caso in cui un utente vuole chiedere cosa hanno fatto altri utenti in ambiente aziendale o multiutente, quell'utente può accedere a questo tipo di informazioni in forma semplificata e minimizzata, i cosiddetti log. Inoltre, se si è verificata un'attività insolita sul sistema di un utente, supponiamo che il suo sistema sia stato compromesso, l'utente può risalire e vedere come il suo sistema è stato compromesso e questo può anche aiutare in molti casi a rispondere agli incidenti.

Nozioni di base sull'audit

L'utente può cercare tra i log salvati tramite auditd usando ricerca e aureport servizi di pubblica utilità. Le regole di audit sono nella directory, /etc/audit/audit.regole che può essere letto da auditctl all'avvio. Inoltre, queste regole possono anche essere modificate usando auditctl. C'è un file di configurazione auditd disponibile su /etc/audit/auditd.conf.

Installazione

Nelle distribuzioni Linux basate su Debian, è possibile utilizzare il seguente comando per installare auditd, se non è già installato:

[email protected]:~$ sudo apt-get install auditd audispd-plugins

Comando di base per auditd:

Per iniziare l'audit:

$ service auditd start

Per interrompere l'auditd:

$ service auditd stop

Per riavviare auditd:

$ service auditd riavvio

Per recuperare lo stato di auditd:

$ service auditd status

Per il riavvio condizionato auditd:

$ service auditd condrestart

Per il servizio di ricarica auditd:

$ service auditd ricarica

Per la rotazione dei log di auditd:

$ service auditd rotante

Per controllare l'output delle configurazioni auditd:

$ chkconfig --list auditd

Quali informazioni possono essere registrate nei log?

Altre utilità relative all'audit:

Di seguito sono riportate alcune altre importanti utilità relative all'audit. Discuteremo solo alcuni di essi in dettaglio, che sono comunemente usati.

auditctl:

Questa utility viene utilizzata per ottenere lo stato del comportamento di audit, impostare, modificare o aggiornare le configurazioni di audit. La sintassi per l'utilizzo di auditctl è:

auditctl [opzioni]

Di seguito sono riportate le opzioni o flag più utilizzati:

-w

Per aggiungere un controllo a un file il che significa che audit terrà d'occhio quel file e aggiungerà ai log le attività dell'utente relative a quel file.

-K

Per inserire una chiave di filtro o un nome nella configurazione specificata.

-p

Per aggiungere un filtro basato sull'autorizzazione dei file.

-S

Per sopprimere l'acquisizione del registro per una configurazione.

-un

Per ottenere tutti i risultati per l'input specificato di questa opzione.

Ad esempio, per aggiungere un orologio sul file /etc/shadow con la parola chiave filtrata 'shadow-key' e con i permessi come 'rwxa':

$ auditctl -w /etc/shadow -k shadow-file -p rwxa

aureport:

Questa utilità viene utilizzata per generare rapporti di riepilogo del registro di controllo dai registri registrati. L'input del report può anche essere costituito da dati di log grezzi che vengono inviati ad aureport utilizzando stdin. La sintassi di base per l'utilizzo di aureport è:

aureport [opzioni]

Alcune delle opzioni aureport di base e più comunemente utilizzate sono le seguenti:

-K

Per generare un report basato sulle chiavi specificate nelle regole di audit o nelle configurazioni.

-io

Per visualizzare informazioni testuali anziché informazioni numeriche come id, come la visualizzazione del nome utente anziché dell'id utente.

-au

Per generare report dei tentativi di autenticazione per tutti gli utenti.

-io

Per generare report che mostrino le informazioni di accesso degli utenti.

ricerca:

Questa utility sta cercando uno strumento per i registri di controllo o gli eventi. I risultati della ricerca vengono visualizzati in cambio, in base a diverse query di ricerca. Come aureport, queste query di ricerca possono anche essere dati di log grezzi che vengono inviati ad ausearch utilizzando stdin. Per impostazione predefinita, ausearch interroga i log inseriti in /var/log/audit/audit.log, che può essere visualizzato direttamente o accessibile come comando di digitazione come di seguito:

$ cat /var/log/audit/audit.log

La semplice sintassi per l'utilizzo di ausearch è:

aussearch [opzioni]

Inoltre, ci sono alcuni flag che possono essere usati con il comando ausearch, alcuni flag comunemente usati sono:

-p

Questo flag viene utilizzato per inserire gli ID di processo per cercare le query per i log, e.g., ausearch -p 6171.

-m

Questo flag viene utilizzato per cercare stringhe specifiche nei file di registro, e.g., ausearch -m USER_LOGIN.

-sv

Questa opzione è un valore di successo se l'utente sta interrogando il valore di successo per una parte specifica dei registri. Questo flag è spesso usato con il flag -m come ausearch -m USER_LOGIN -sv no.

-ua

Questa opzione viene utilizzata per inserire un filtro nome utente per la query di ricerca, e,.g., ausearch -ua radice.

-ts

Questa opzione viene utilizzata per inserire un filtro timestamp per la query di ricerca, e.g., ausearch -ts ieri.

auditspd:

Questa utility è usata come demone per il multiplexing degli eventi.

autrace:

Questa utilità viene utilizzata per tracciare i file binari utilizzando componenti di controllo audit.

aula:

Questa utility mostra le ultime attività registrate nei log.

aulastlog:

Questa utility mostra le ultime informazioni di accesso di tutti gli utenti o di un determinato utente.

ausyscall:

Questa utility consente la mappatura dei nomi e dei numeri delle chiamate di sistema.

auvirt:

Questa utility mostra le informazioni di audit specificamente per le macchine virtuali.

Concludendo

Sebbene Linux Auditing sia un argomento relativamente avanzato per utenti Linux non tecnici, ma lasciare che siano gli utenti a decidere da soli, è ciò che offre Linux. A differenza di altri sistemi operativi, i sistemi operativi Linux tendono a mantenere i propri utenti nel controllo del proprio ambiente. Pur essendo un utente alle prime armi o non tecnico, si dovrebbe sempre imparare per la propria crescita. Spero che questo articolo ti abbia aiutato a imparare qualcosa di nuovo e utile.

Giochi I migliori emulatori di console di gioco per Linux
I migliori emulatori di console di gioco per Linux
Questo articolo elencherà il popolare software di emulazione della console di gioco disponibile per Linux. L'emulazione è un livello di compatibilità ...
Giochi Le migliori distribuzioni Linux per il gioco nel 2021
Le migliori distribuzioni Linux per il gioco nel 2021
Il sistema operativo Linux ha fatto molta strada dal suo aspetto originale, semplice e basato su server. Questo sistema operativo è notevolmente migli...
Giochi Come acquisire e riprodurre in streaming la tua sessione di gioco su Linux
Come acquisire e riprodurre in streaming la tua sessione di gioco su Linux
In passato, giocare era considerato solo un hobby, ma con il tempo l'industria dei giochi ha visto una crescita enorme in termini di tecnologia e nume...