Sådan overvåges begivenheder på dine Linux-datacenterservere med auditd

Billede: Jack Wallen

Linux Auditing System er en enestående måde for sysadmins at oprette en logregel for næsten enhver handling på en datacenterserver. Brug af dette system betyder, at du kan spore begivenheder, registrere begivenhederne og endda opdage misbrug eller uautoriseret aktivitet via logfilerne. Audit-dæmonen (auditd) giver dig mulighed for at vælge, hvilke handlinger på serveren der skal overvåges (i modsætning til at overvåge alt) og ikke forstyrrer standardlogfunktioner (f.eks. Syslog).

Datacenter skal læses

  • 8 datacenters forudsigelser for 2020
  • 7 netværksforudsigelser for 2020: Automation, edge computing, Wi-Fi 6 og mere
  • Bedste praksis for server virtualisering og tip til, hvad man ikke skal gøre
  • Kvanteberegning: Syv sandheder, du har brug for at vide

Den eneste advarsel, der skal kontrolleres, er, at den faktisk ikke tilføjer yderligere sikkerhed til dit system. I stedet giver det midlerne til dig til at holde styr på enhver overtrædelse, der opstår på en server, så du derefter kan gribe ind over for misbrug.

Med dette værktøj kan administratorer holde faner med ethvert antal systemer og tjenester ved at oprette regler via kommandolinjen. Auditd fungerer på kerneniveau, så du har adgang til revision af den ønskede service. Auditsystemet er tilgængeligt for de fleste Linux-distributioner, men jeg vil demonstrere dets anvendelse på Ubuntu Server 18.04.

Hvad du har brug for

Det eneste, du har brug for, er en Linux-server (eller desktop, hvis du foretrækker det) og en brugerkonto med sudo-privilegier. Lad os se, hvordan auditd fungerer, med dem klar.

Installation

Auditd er sandsynligvis allerede installeret på din maskine. Det er ikke tilfældet, du kan installere det med kommandoen:

 sudo apt-get install auditd -y 

Når det er installeret, skal du sørge for at starte og aktivere systemet med kommandoerne:

 sudo systemctl start auditd sudo systemctl aktivere auditd 

Konfiguration af auditd

Konfigurationen af ​​auditd håndteres i en enkelt fil (mens reglerne håndteres i en helt separat fil). Selvom standarden skulle være tilstrækkelig til de fleste behov, kan du konfigurere systemet ved at udstede kommandoen:

 sudo nano /etc/audit/audit.conf 

I den fil ønsker du måske at konfigurere følgende poster:

  • Logfilens placering er konfigureret i linjen log_file = /var/log/audit/audit.log .
  • Antallet af logfiler, der skal bevares på serveren, er konfigureret i posten num_logs = 5 .
  • Konfigurer den maksimale logfilstørrelse (i MB) på linjen max_log_file = 8 .

Hvis du foretager ændringer i denne konfiguration, skal du genstarte auditd med kommandoen:

 sudo systemctl genstart auditd 

Oprettelse af en regel

Den første ting at gøre er at kontrollere, at du starter med en ren skifer. Giv kommandoen:

 sudo auditctl -l 

Ovenstående kommando skal vise, at der ikke er nogen regler ( figur A ).

Figur A: Vi har en ren skifer til revision.

Lad os oprette en regel, der overvåger både / etc / passwd og / etc / shadow for eventuelle ændringer. Det, vi ønsker, er at oprette regler, der overvåger en bestemt sti og se efter ændringer i attributten til skrivetilladelse for den fil. Med andre ord, hvis en ondsindet bruger ændrer skrivetilladelser på passwd- og skyggefiler, vil den blive logget. For at gøre dette udsteder vi kommandoen:

 sudo nano /etc/audit/rules.d/audit.rules 

I bunden af ​​denne fil skal du tilføje følgende to linjer:

 -w / etc / skygge -p wa -k skygge -w / etc / passwd -p wa -k passwd 

Opdelingen af ​​ovenstående linjer ser sådan ud:

  • -w er stien at se på.
  • -p er tilladelser til at overvåge.
  • -k er nøglenavnet til reglen.

Med hensyn til tilladelser svarer det noget til standard Linux med en tilføjelse:

  • r - læs
  • w - skriv
  • x - udfør
  • a - ændring af filens attribut (enten ejerskab eller tilladelser)

I vores eksempel ønsker vi at se skrivetilladelser (w) for filerne for enhver ændring i attributten (a), så vores tilladelse ville være wa .

Når vi har tilføjet de to nye regler, skal du gemme og lukke filen og derefter genstarte auditd med kommandoen:

 sudo systemctl genstart auditd 

Du skal nu kunne se de nye regler, der er anført ( figur B ), ved at udstede kommandoen:

 sudo auditctl -l 

Figur B: Vores nye regler er på plads.

Visning af auditd-logfilen

Du kan se alle poster i auditd-logfilen ved at udstede kommandoen:

 mindre /var/log/audit/audit.log 

Du finder hurtigt filen, der skal pakkes fast med poster. Der skal være en lettere måde. Heldigvis er der. Fordi vi har inkluderet keynames i vores regler, kan vi bruge et indbygget auditd-søgeværktøj til kun at se de poster, der indeholder enten adgangskodenavn for passwd eller skygge. Hvis du vil se en post, der indeholder adgangskodens kodenavn, udgiver du kommandoen:

 ausearch -k passwd 

Du kan se en liste over alle poster, der indeholder det specificerede keyname ( figur C ).

Figur C: Passwd-kodenavnet viser indtil videre to poster.

Sig, at du tilføjer en ny bruger (med sudo adduser- kommandoen). Fordi du bliver nødt til at oprette en adgangskodepost for den bruger (som er skrevet til / etc / passwd ), vises den i vores ausearch -k passwd- søgekommando ( figur D ).

Figur D: Der er oprettet en ny adgangskode til en ny bruger og logget med auditd.

Ausearch- værktøjet er utroligt kraftigt. For at finde ud af mere om brugen skal du sørge for at læse gennem man-siden med kommandomanden ausearch .

Og det er kernen ved at bruge auditd på dine datacentre Linux-servere. Du har nu midlerne til at holde oversigter over næsten ethvert system eller service, du har brug for at se.

Datacenter Trends Nyhedsbrev

DevOps, virtualisering, hybrid sky, opbevaring og driftseffektivitet er blot nogle af de datacenteremner, vi vil fremhæve. Leveres mandage og onsdage

Tilmeld dig i dag

© Copyright 2021 | mobilegn.com