Cos'è auditd?

AUDITD è il componente dello spazio utenti del sistema di auditing Linux. Auditd è abbreviato per il demone di audit Linux. In Linux, il daemon viene definito un servizio di esecuzione in background e c'è una "d" allegata alla fine del servizio applicativo mentre funziona in background. Il lavoro di auditd è quello di raccogliere e scrivere file di registro di audit sul disco come servizio di base

Perché utilizzare Auditd?

Questo servizio Linux fornisce all'utente un aspetto di controllo della sicurezza in Linux. I registri raccolti e salvati da AUDITD, sono diverse attività svolte nell'ambiente Linux dall'utente e se si verifica un caso in cui un utente desidera indagare su ciò che gli altri utenti hanno fatto nell'ambiente aziendale o a più utenti, che l'utente può ottenere l'accesso a questo tipo di informazioni in una forma semplificata e ridotta. Inoltre, se c'è stata un'attività insolita sul sistema di un utente, supponiamo che il suo sistema sia stato compromesso, allora l'utente può rintracciare e vedere come il suo sistema è stato compromesso e questo può anche aiutare in molti casi per la risposta agli incidenti.

Nozioni di base di Auditd

L'utente può cercare tramite i registri salvati auditd usando ausearch E aureport utility. Le regole di audit sono nella directory, /etc/audit/audit.regole che può essere letto da auditctl all'avvio. Inoltre, queste regole possono anche essere modificate usando auditctl. È disponibile un file di configurazione auditd su /etc/audit/auditd.conf.

Installazione

Nelle distribuzioni Linux con sede a Debian, il comando seguente può essere utilizzato per installare AUDITD, se non già installato:

ubuntu@ubuntu: ~ $ sudo apt-get install auditd audiispd-plugins

Comando di base per auditd:

Per l'avvio dell'auditd:

$ Service Auditd Start

Per fermare l'auditd:

$ Service Auditd Stop

Per riavviare l'auditd:

$ Service Auditd Riavvia

Per recuperare lo stato di auditd:

$ Service Auditd Status

Per auditd di riavvio condizionale:

$ Service Auditd CondrestArt

Per il servizio di Auditd RELADAD:

$ Service Auditd Reload

Per i registri auditd rotanti:

$ Service Auditd Ruota

Per il controllo delle configurazioni di auditd output:

$ CHKCONFIG -AUDITD -LIST

Quali informazioni possono essere registrate nei registri?

• Informazioni sul timestamp ed eventi come il tipo e il risultato di un evento.
• Evento attivato insieme all'utente che lo ha attivato.
• Modifiche ai file di configurazione dell'audit.
• Tentativi di accesso per i file di registro di audit.
• Tutti gli eventi di autenticazione con gli utenti autenticati come SSH, ecc.
• Modifiche a file o database sensibili come password in /etc /passwd.
• Informazioni in arrivo e in uscita da e al sistema.

Altre utility relative all'audit:

Di seguito sono riportate alcune altre importanti utility relative all'audit. Ne discuteremo solo alcuni in dettaglio, che sono comunemente usati.

auditctl:

Questa utilità viene utilizzata per ottenere lo stato del comportamento delle configurazioni di audit, impostazione, modifica o aggiornamento. La sintassi per l'utilizzo di auditctl è:

auditctl [opzioni]

Di seguito sono riportate le opzioni o la bandiera che vengono utilizzate principalmente:

-w

Per aggiungere un orologio a un file che significa che l'audit manterrà d'occhio quel file e aggiungerà le attività dell'utente relative a quel file ai registri.

-K

Per inserire una chiave di filtro o un nome alla configurazione specificata.

-P

Per aggiungere un filtro in base all'autorizzazione dei file.

-S

Per sopprimere il registro l'acquisizione per una configurazione.

-UN

Per ottenere tutti i risultati per l'input specificato di questa opzione.

Ad esempio, per aggiungere un orologio su /etc /shadow file con parola chiave filtrata "key-key" e con autorizzazioni come "rwxa":

$ auditctl -w /etc /shadow -k shadow -file -p rwxa

Aureport:

Questa utilità viene utilizzata per la generazione di rapporti di riepilogo dei registri di audit dai registri registrati. L'input del report può anche essere i dati dei registri grezzi alimentati ad Aureport utilizzando stdin. La sintassi di base per l'utilizzo di Aureport è:

aureport [opzioni]

Alcune delle opzioni Aureport di base e più comunemente usate sono come in:

-K

Per generare un rapporto basato sulle chiavi specificate nelle regole o nelle configurazioni di audit.

-io

Per visualizzare informazioni testuali piuttosto che informazioni numeriche come ID, come la visualizzazione di nome utente anziché UserID.

-au

Per generare report dei tentativi di autenticazione per tutti gli utenti.

-l

Per generare report che visualizza le informazioni di accesso agli utenti.

AUSEARCH:

Questa utilità sta cercando strumenti per registri o eventi di audit. I risultati della ricerca vengono visualizzati in cambio, in base a diverse query di ricerca. Come Aureport, queste query di ricerca possono anche essere dati di registri grezzi che vengono alimentati ad AUSEARCH utilizzando stdin. Per impostazione predefinita, AUSEARCH interroga i registri posti su /var/log/audit/audit.tronco d'albero, che può essere visualizzato direttamente o accessibile come comando di digitazione come di seguito:

$ cat/var/log/audit/audit.tronco d'albero

La semplice sintassi per l'utilizzo di Ausearch è:

ausearch [opzioni]

Inoltre, ci sono alcuni flag che possono essere utilizzati con il comando AUSEarch, alcuni flag comunemente usati sono:

-P

Questo flag viene utilizzato per inserire ID di processo per cercare query per i registri, E.G., AUSEARCH -P 6171.

-M

Questo flag viene utilizzato per cercare stringhe specifiche nei file di registro, e.G., AUSEARCH -M USER_LOGIN.

-Sv

Questa opzione è i valori di successo se l'utente sta interrogando il valore di successo per parte specifica dei registri. Questa bandiera viene spesso usata con flag -m come ausearch -m user_login -sv no.

-ua

Questa opzione viene utilizzata per inserire un filtro nome utente per la query di ricerca, E.G., ausearch -ua radice.

-ts

Questa opzione viene utilizzata per inserire un filtro Timestamp per la query di ricerca, E.G., ausearch -ts ieri.

auditspd:

Questa utilità viene utilizzata come demone per il multiplexing degli eventi.

AUTRACE:

Questa utilità viene utilizzata per la traccia di binari usando i componenti di audit.

AULAST:

Questa utilità mostra le ultime attività registrate nei registri.

aulastlog:

Questa utilità mostra le ultime informazioni di accesso di tutti gli utenti o di un determinato utente.

ausyscall:

Questa utilità consente la mappatura dei nomi delle chiamate di sistema e dei numeri.

auvirt:

Questa utilità mostra le informazioni di audit specificamente per le macchine virtuali.

Concludere

Sebbene l'auditing Linux sia un argomento relativamente avanzato per gli utenti Linux non tecnici, ma lasciare che gli utenti decidano da soli, è ciò che offre Linux. A differenza di altri sistemi operativi, i sistemi operativi Linux tendono a mantenere i propri utenti in controllo del proprio ambiente. Essendo anche un utente principiante o non tecnico, si dovrebbe sempre imparare per la propria crescita. Spero che questo articolo ti abbia aiutato a imparare qualcosa di nuovo e utile.