Hogyan kell figyelni az eseményeket a Linux adatközpont-kiszolgálókon az auditd segítségével

Kép: Jack Wallen

A Linux ellenőrző rendszer kiváló módja a rendszergazdáknak, hogy naplószabályt hozzanak létre az adatközpont-kiszolgálón szinte minden művelethez. A rendszer használata azt jelenti, hogy nyomon követheti az eseményeket, rögzítheti az eseményeket, sőt a visszaélések vagy jogosulatlan tevékenységek észlelhetők is a naplófájlok segítségével. Az audit démon (auditd) lehetővé teszi, hogy kiválaszthassa, mely műveleteket kell a kiszolgálón figyelni (ellentétben az összes figyelésével), és nem zavarja a szokásos naplózási eszközöket (például a syslog).

Adatközpont kötelező olvasása

  • 8 adatközpont-előrejelzés 2020-ra
  • 7 hálózati előrejelzés 2020-ra: Automatizálás, élszámolás, Wi-Fi 6, stb
  • A szerver virtualizációjának bevált módszerei és tippek a nem teendőkhöz
  • Kvantumszámítás: Hét igazságot kell tudnod

Az ellenőrzésre váró egyetlen óvintézkedés az, hogy valójában nem nyújt további biztonságot a rendszeréhez. Ehelyett eszközöket kínál arra, hogy nyomon kövesse a kiszolgálón előforduló bármilyen jogsértést, hogy ezután lépéseket tehessen a visszaélések ellen.

Ezzel az eszközzel az adminisztrátorok tetszőleges számú rendszeren és szolgáltatáson tarthatják a füleket, a parancssoron keresztül szabályokat hozva létre. Az Auditd rendszermagszinten működik, így hozzáférhet a kívánt szolgáltatások ellenőrzéséhez. Az auditált rendszer a legtöbb Linux disztribúcióhoz elérhető, de bemutatom annak használatát az Ubuntu Server 18.04 rendszeren.

Amire szükséged van

Az egyetlen, amire szükséged van egy Linux szerverre (vagy asztalra, ha úgy tetszik) és egy felhasználói fiókra sudo jogosultságokkal. Ha készen állunk, nézzük meg, hogyan működik az auditált rendszer.

Telepítés

Az Auditd valószínűleg már telepítve van a számítógépére. Ha véletlenszerűen nem, telepítheti a következő paranccsal:

 sudo apt-get install auditd -y 

A telepítés után indítsa el és engedélyezze a rendszert a következő parancsokkal:

 sudo systemctl start auditd sudo systemctl engedélyezése auditd 

Az auditált konfigurálása

Az auditált konfigurációját egyetlen fájlban kezelik (míg a szabályokat egy teljesen különálló fájlban kezelik). Bár az alapértelmezettnek elegendőnek kell lennie a legtöbb igényhez, a rendszert a következő parancs kiadásával konfigurálhatja:

 sudo nano /etc/audit/audit.conf 

Ebben a fájlban konfigurálhatja a következő bejegyzéseket:

  • A naplófájl helyét a log_file = /var/log/audit/audit.log sorban lehet beállítani .
  • A kiszolgálón megőrzendő naplók számát a num_logs = 5 bejegyzés konfigurálja.
  • Konfigurálja a maximális naplófájl méretét (MB-ban) a max_log_file = 8 sorban.

Ha módosítja a konfigurációt, akkor újra kell indítania az auditd parancsot:

 sudo systemctl újraindítás auditd 

Szabály létrehozása

Az első dolog, amit meg kell tennie, ellenőrizze, hogy tiszta palaval kezd-e. Adja ki a parancsot:

 sudo auditctl -l 

A fenti parancsnak jeleznie kell, hogy nincsenek szabályok (A ábra ).

A ábra: Van tiszta pala az auditálásra.

Készítsünk egy szabályt, amely figyeli mind az / etc / passwd, mind az / etc / shadow változásokat. Azt akarjuk, hogy olyan szabályokat hozzunk létre, amelyek figyelemmel kísérik egy adott útvonalat, és figyelemmel kísérik a fájl írási engedély attribútumában bekövetkező változásokat. Más szavakkal, ha egy rosszindulatú felhasználó megváltoztatja a felülírási és árnyékfájlok írási engedélyeit, akkor a rendszer naplózza. Ehhez kiadjuk a következő parancsot:

 sudo nano /etc/audit/rules.d/audit.rules 

A fájl aljára adja hozzá a következő két sort:

 -w / etc / shadow -p wa -k shadow -w / etc / passwd -p wa -k passwd 

A fenti sorok bontása így néz ki:

  • -w az utat figyelni.
  • -p a figyelési engedélyek.
  • -k a kulcs kulcsszava a szabálynak.

Ami az engedélyeket illeti, kissé hasonló a szokásos Linuxhoz, egyetlen kiegészítéssel:

  • r - olvasd el
  • w - írj
  • x - végrehajtás
  • a - a fájl attribútumának változása (tulajdonjog vagy engedélyek)

Példánkban meg akarjuk nézni a fájlok írási engedélyét (w) az (a) attribútum bármilyen változása esetén, így engedélyünk wa lenne.

Miután hozzáadtuk a két új szabályt, mentse és zárja be a fájlt, majd indítsa újra az auditd parancsot:

 sudo systemctl újraindítás auditd 

Most már látnia kell a felsorolt ​​új szabályokat ( B ábra ) a következő parancs kiadásával:

 sudo auditctl -l 

B ábra: Új szabályaink a helyén vannak.

Az ellenőrzött naplófájl megtekintése

Az ellenőrzött naplófájl minden bejegyzését a következő parancs kiadásával tekintheti meg:

 kevesebb /var/log/audit/audit.log 

Gyorsan megtalálja a fájlokat, amelyekbe elakadnak a bejegyzések. Könnyebb útnak kell lennie. Szerencsére van. Mivel a kulcsneveket beillesztettük a szabályokba, beépített auditált kereső eszköz segítségével csak azokat a bejegyzéseket tekinthetjük meg, amelyek a jelszót vagy az árnyékkulcsneveket tartalmazzák. A Passwd kulcsnevet tartalmazó bejegyzés megtekintéséhez adja ki a parancsot:

 ausearch -k passwd 

A listában minden olyan bejegyzést látnia kell, amely tartalmazza a megadott kulcsnevet ( C ábra ).

C ábra: Az átadott kulcsnév eddig két bejegyzést mutatott.

Tegyük fel, hogy új felhasználót vesz fel (a sudo adduser paranccsal). Mivel a felhasználónak jelszóbejegyzést kell létrehoznia (amely az / etc / passwd fájlba van írva), ez az ausearch -k passwd keresési parancsban jelenik meg ( D ábra ).

D. ábra: Új jelszót hoztak létre egy új felhasználó számára, és naplózott az auditd-val.

Az ausearch eszköz hihetetlenül nagy teljesítményű. Ha többet szeretne megtudni a használatáról, feltétlenül olvassa el a man oldalt a man Ausearch paranccsal.

És ez az a lényeg, hogy az auditd-t használja az adatközpont-Linux kiszolgálóin. Most már rendelkezel az eszközökkel, hogy szinte bármilyen rendszeren vagy szolgáltatással megfigyelhesse a füleket.

Adatközpont-trend hírlevél

A DevOps, a virtualizáció, a hibrid felhő, a tárolás és az operatív hatékonyság csak néhány adatközpont-témakör, amelyet kiemeltünk. Hétfőn és szerdán szállítjuk

Regisztrálj még ma

© Copyright 2021 | mobilegn.com