So prüfen Sie Linux mit Auditd Tool und Ausearch

administrator Leave a Comment

Als Systemadministratoren überwachen Mitarbeiter der Support-Gruppe oder einfach als Maßnahme zur Aufrechterhaltung der bestmöglichen Kontrolle sowohl über den Server als auch über die Client-Computer des Unternehmens das Betriebssystem ständig, um einen Schritt voraus zu sein Die möglicherweise auftretenden Fehler bewahren auf diese Weise die Integrität und Verfügbarkeit des Systems sowie die darin gespeicherten Rollen, Dienste und Elemente.

Was ist ein Linux-Audit?
Wenn wir über ein Audit-System in einer Linux-Umgebung sprechen, sprechen wir über einen Mechanismus, mit dem sicherheitsrelevante Informationen in diesem Betriebssystem nachverfolgt werden können.

Ein Audit besteht aus einer Prüfung der verschiedenen Teile, aus denen dieses System besteht, mit einer kritischen Bewertung und erforderlichenfalls Tests in verschiedenen Bereichen von Interesse.

Basierend auf diesem Konzept wird TechnoWikis heute zwei der besten Tools für den Linux-Prüfungsprozess analysieren: auditd und ausearch.

Es muss klargestellt werden, dass das Audit keine zusätzliche Sicherheit für das Betriebssystem bietet, sondern dazu verwendet werden kann, Verstöße gegen die im System verwendeten Sicherheitsrichtlinien zu erkennen, und dass dies entsprechend bekannt ist.

Auditd
Auditd ist das Linux-Audit-System, das auf vorkonfigurierten Regeln basiert, um Registrierungseinträge zu generieren und so alle Informationen über die Ereignisse, die im System stattfinden, so gut wie möglich zu speichern.

Diese gesammelten Informationen sind für unternehmenskritische Umgebungen von entscheidender Bedeutung, um den Verstoß gegen die Sicherheitsrichtlinie und die ergriffenen Maßnahmen zu ermitteln und somit zu ermöglichen, dass sich alle Sicherheitsmaßnahmen und neuen Richtlinien, die in der Organisation erstellt wurden, auf die Verbesserung der Gesamtheit konzentrieren Betriebsumgebung.

Auditd kann die folgenden Protokolldateien aufzeichnen
  • Datum, Uhrzeit, Art und Ergebnis eines Ereignisses.
  • Sensitivitätsetiketten von Subjekten und Objekten.
  • Zuordnung eines Ereignisses zur Identität des Benutzers, der das Ereignis ausgeführt hat.
  • Stellen Sie alle Änderungen an der Überwachungskonfiguration bereit und versuchen Sie, auf die Überwachungsprotokolldateien zuzugreifen.
  • Speichern Sie alle Verwendungen von Authentifizierungsmechanismen wie SSH, Kerberos und andere.
  • Es ist möglich, zu einer vertrauenswürdigen Datenbank wie / etc / passwd zu wechseln.
  • Zeichnen Sie jeden Versuch auf, Informationen in das oder aus dem System zu importieren oder zu exportieren.
  • Schließt Ereignisse basierend auf Benutzeridentität, Betreff- und Objekt-Tags und anderen Attributen ein oder aus.

Anforderungen
In gleicher Weise ist der Einsatz des Auditsystems auch eine notwendige Voraussetzung für eine Reihe von Sicherheitszertifizierungen, wenn dies jederzeit erforderlich ist. Das Audit soll die Anforderungen der folgenden weltweiten Compliance-Zertifizierungen oder -Richtlinien erfüllen oder übertreffen:

  • Kontrolliertes Zugriffsschutzprofil (CAPP)
  • Beschriftetes Sicherheitsschutzprofil (LSPP)
  • Regelsatz-Basiszugriffskontrolle (RSBAC)
  • National Industrial Security Program Bedienungsanleitung (NISPOM)
  • Bundesgesetz über das Management der Informationssicherheit (FISMA)
  • Zahlungskartenindustrie – Datensicherheitsstandard (PCI-DSS)
  • Technische Sicherheitsleitfäden (STIG)
See also  Fix Windows 10 erkennt iPhone oder iPad mit iTunes nicht

Zusätzliche Vorteile
Einige der zusätzlichen Vorteile bei der Verwendung des Linux-Audit-Systems sind die folgenden:

  • Es sind keine externen Programme oder Prozesse erforderlich, um in einem autarken System ausgeführt zu werden.
  • Es ist hochgradig konfigurierbar, weshalb wir jede gewünschte Systemoperation sehen können.
  • Es hilft, auf der Ebene der Sicherheit die Potenziale eines Systems zu erkennen oder zu analysieren.
  • Es kann als unabhängiges Erkennungssystem fungieren.
  • Sie können mit Intrusion Detection-Systemen arbeiten, um Intrusion Detection zu ermöglichen.
  • Es ist ein wichtiges Instrument für die Prüfung von forensischen Untersuchungen.

Obwohl einige Begriffe seltsam erscheinen mögen, ist dies eine der besten Optionen, wenn wir uns ohne Frage der Sicherheit verschrieben haben.

1. Komponenten des Auditsystems von Linux auditd

Das Auditsystem besteht aus zwei grundlegenden Komponenten:

  • Benutzeranwendungen und Dienstprogramme oder Tools
  • Systemaufrufverarbeitung auf Kernel-Ebene, die Systemaufrufe von User-Space-Anwendungen akzeptiert und diese über drei Arten von Filtern weiterleitet: Benutzer, Task, Exit oder Ausschluss.

Der wichtigste Teil ist der Benutzer-Audit-Daemon (auditd), der Informationen basierend auf vorkonfigurierten Regeln aus dem Kernel sammelt und Einträge in einer Protokolldatei generiert. Der Standarddatensatz lautet: 

 /var/log/audit/audit.log

Darüber hinaus ist audispd ein Ereignismultiplexer, der mit auditd interagiert und Ereignisse an andere Programme sendet, die eine Ereignisverarbeitung in Echtzeit durchführen möchten.

Es gibt verschiedene Benutzerbereichstools zum Verwalten und Abrufen von Informationen aus dem Audit-System:

Auditctl
Es ist ein Dienstprogramm zur Steuerung des Kernel-Audit-Systems.

Ausearch
Es ist ein Dienstprogramm zum Durchsuchen von Überwachungsprotokolldateien nach bestimmten Ereignissen.

Aureport
Es ist ein Dienstprogramm zum Erstellen von Berichten über aufgezeichnete Ereignisse.

Für diese Analyse verwenden wir CentOS 7

2. Installation und Konfiguration von auditd in CentOS 7

Der erste Schritt besteht darin, sicherzustellen, dass das Audit-Tool mit dem Befehl rpm und dem Dienstprogramm grep wie folgt auf dem System installiert ist: 

 rpm -qa | grep audit

Das Ergebnis wird sein:

wie - audit-Linux-1.png

Wenn Sie die Überwachungspakete nicht haben, müssen Sie als Root-Benutzer den folgenden Befehl ausführen: 

 yum install audit

Nach der Installation müssen wir konfigurieren, ob auditd aktiviert ist. Dazu führen wir einige der folgenden Befehle in ihrer Reihenfolge aus:

In CentOS oder RHEL 7 
 systemctl ist aktiviert auditdsystemctl status auditdsystemctl start auditd (Dienst starten) systemctl enable auditd (Dienst aktivieren)

In CentOS oder RHEL 6 
 service auditd statusservice auditd start (Dienst starten) chkconfig auditd on (aktiviert den Dienst)

Wir können sehen, dass sein Zustand aktiv ist.

See also  Erstellen Sie ein Benutzerkonto auf dem Windows Server 2016-Domänencontroller

wie - audit-Linux-3.png

wie - audit-Linux-4.png

3. Hörkonfiguration

Zur Konfiguration von auditd müssen wir die Hauptkonfigurationsdatei /etc/audit/auditd.conf verwenden, da dort gesteuert werden kann, wie der Dienst ausgeführt wird, wie z. B. die Definition des Speicherorts der Protokolldatei, die maximale Anzahl von Protokolldateien, die Aufnahmeformat, Umgang mit kompletten Datenträgern, Aufnahmerotation und mehr Optionen.
Dafür verwenden wir den bevorzugten Editor: 

 nano /etc/audit/auditd.conf

Dort werden wir folgendes sehen:

wie - audit-Linux-5.png

Wir können sehen, dass in jeder Zeile eine bestimmte Aktion angegeben werden kann, die wir bei Bedarf ändern können.

4. Prüfungsregeln unter Linux

Wie bereits erwähnt, verwendet auditd Regeln, um kernelspezifische Informationen zu sammeln. Diese Regeln sind im Grunde genommen Prüfungsoptionen, die in der Datei /etc/audit/rules.d/audit.rules vorkonfiguriert werden können.

Es gibt drei Arten von Überwachungsregeln, die definiert werden können:

Kontrollregeln
Diese ermöglichen das Ändern des Verhaltens des Prüfsystems und einiger seiner Konfigurationen.

Dateisystemregeln
Diese Regeln ermöglichen die Überprüfung des Zugriffs auf eine bestimmte Datei oder ein bestimmtes Verzeichnis.

Systemaufrufregeln
Diese ermöglichen die Registrierung von Systemaufrufen, die von einem beliebigen Programm ausgeführt werden.

Um auf diese Regeln zuzugreifen, gehen wir mit dem gewünschten Editor auf die folgende Route: 

 nano /etc/audit/rules.d/audit.rules

Wir werden folgendes sehen:

wie - audit-Linux-6.png

In dieser Datei müssen im ersten Abschnitt Kontrollregeln hinzugefügt werden. Fügen Sie anschließend die Prüfregeln im zentralen Abschnitt hinzu, und schließlich enthält der letzte Abschnitt Unveränderlichkeitsparameter, die auch Kontrollregeln sind.

Einige Beispiele für diese Regeln sind:

Entfernen Sie alle vorherigen Regeln 
 -D

Definiert die Puffergröße 
 -b 3074

Ein Fehlschlagen generiert eine Panikoption 
 -f 4

Erstellen Sie maximal 120 Überwachungsnachrichten pro Sekunde 
 -r 120

Ein Beispiel für eine Regel lautet wie folgt:

wie - audit-Linux-7.png

Da haben wir folgendes:

Es wird verwendet, um eine zu überwachende Datei oder ein zu überwachendes Verzeichnis anzugeben. 
 -w

Berechtigungen
Dies sind die zu registrierenden Berechtigungen, r – für Lesezugriff, w – für Schreibzugriff, x – für Ausführungszugriff und – für Dateiänderungen oder Director-Attribute. 

 -p

Festlegen von Regeln
Ermöglicht das Festlegen einer optionalen Zeichenfolge, um zu identifizieren, welche Regel (oder welcher Regelsatz) einen bestimmten Registrierungseintrag erstellt hat. 

 -k

Nachdem die Regeln definiert wurden, speichern wir die Datei mit der Tastenkombination Strg + O und beenden sie mit Strg + X. Wir werden diese Regeln hinzufügen und die des Beispiels, in dem die folgenden Zeilen ausgeführt werden, als Root verwenden: 

 auditctl -w / etc / passwd -p wa -k passwd_changesauditctl -w / etc / group -p wa -k group_changesauditctl -w / etc / sudoers -p wa -k sudoers_changes

Um die aktuellen Regeln zu sehen, werden wir folgendes ausführen: 

 sudo auditctl -l

wie - audit-Linux-8.png

Auf diese Weise wird Audit zu einem wertvollen Audit-Tool in CentOS 7.

5. Linux ausforschen

Mit dem Dienstprogramm ausearch können Sie Überwachungsprotokolldateien auf der Grundlage von Ereignissen und verschiedenen Suchkriterien wie Ereignis-ID, Schlüssel-ID, CPU-Architektur, Befehlsname, Hostname, Gruppenname oder nach bestimmten Ereignissen durchsuchen Gruppen ID

See also  Fix Windows 10 erkennt iPhone oder iPad mit iTunes nicht

Standardmäßig sucht ausearch in der Datei /var/log/audit/audit.log. Sie können eine andere Datei angeben, indem Sie den Befehl ausearch options -if filename verwenden. Die Bereitstellung mehrerer Optionen in einem Ausearch-Befehl entspricht der Verwendung des AND-Operators.

Um den Standardwert zu verwenden und die aktuellen Protokolle anzuzeigen, führen Sie einen der folgenden Befehle aus: 

 cat /var/log/audit/audit.logcat /var/log/audit/audit.log | weniger

wie - audit-Linux-9.png

Wie wir sehen, können die hier dargestellten Daten verwirrend sein. Ausearch verwendet daher die Ausearch-Syntax (Option), um diese Ergebnisse zu filtern und eine Vision zu erhalten, die viel einfacher zu verwalten ist.

Wir haben Optionen wie:

Überprüfen Sie die Ausführung von Prozesssätzen
Dort können wir den -p-Parameter plus die PID verwenden, um ein bestimmtes Ergebnis zu erhalten: 

 ausearch -p 579

wie - audit-Linux-10.png

Suchen Sie in der Überwachungsprotokolldatei nach Fehlern bei Anmeldeversuchen
In diesem Fall müssen wir den Parameter -m verwenden, um bestimmte Nachrichten zu identifizieren, und -sv, um die zufriedenstellenden Ergebnisse zu definieren. 

 ausearch -m USER_LOGIN -sv nicht

wie - audit-Linux-11.png

Suchen Sie nach Benutzeraktivitäten in der Auditd-Protokolldatei
Für dieses Ergebnis verwenden wir den Parameter -ua plus den Benutzernamen: 

 ausearch -ua TechnoWikis

wie - audit-Linux-12.png

Suchen Sie nach Änderungen in Benutzern, Gruppen und Rollen
Mit dieser Option können alle Systemänderungen überprüft werden, die für Benutzerkonten, Gruppen und Rollen verwendet werden. Wir können verschiedene Arten von Nachrichten angeben, die durch Kommas getrennt sind: 

 ausearch -m ADD_USER, DEL_USER, USER_CHAUTHTOK, ADD_GROUP, DEL_GROUP, CHGRP_ID, ROLE_ASSIGN, ROLE_REMOVE -i

Wir werden folgendes sehen:

wie - audit-Linux-13.png

Siehe die Hilfe von ausearch
Um die verschiedenen Optionen dieses Dienstprogramms anzuzeigen, führen Sie Folgendes aus: 

 Mann ausearch

wie - audit-Linux-14.png

So können wir die verschiedenen Optionen sehen, wenn wir ein vollständiges und effektives Audit in CentOS oder RedHat durchführen.

administrator

More Posts

Leave a Reply

Your email address will not be published. Required fields are marked *