目次
Linux監査は、主にシステムのセキュリティを確保するために使用される、システムパスワードの変更やユーザーの作成などのシステム変更の情報を表示するために主に使用されます。以下では、監査の使用方法を簡単に紹介します。
監査プロセスを開始します
[tommy @ xie-testlog] $ sudo service auditd start
現在の監査ルールを表示する
[Tommy @ xie-testlog] -I $ Sudo auditctl
[sudo] tommyのパスワード:
LIST_RULES:exit、always watch = / etc / passwd perm = rwxa
ここで新しいルールを作成しました。デフォルトはルールなしです
新しい一時的なルール
[tommy @ xie-testlog] $ sudo auditctl -w / etc / passwd -p rxwa
パラメータの説明
-w:監査監視のパス
-p:ディレクトリまたはファイルのパーミッション、rxwaはそれぞれ読み取り、実行、書き込み、および属性
入力コマンド
[Tommy @ xie-testlog] -I $ Sudo auditctl
追加されたルールを確認できます。これがパスワードファイル/ etc / passwdの監視です。このファイルが変更された場合、監査ログに記録されます。
注:sudo auditctl -w / etc / passwd -p rxwaコマンドは、一時的なルールを作成するためのものです。サービスが再起動するか、システムが再起動すると、このコマンドはクリアされます。永続的なルールにする場合は、次のように、audit.rulesファイルを変更する必要があります
[tommy@xie-testlog]$ sudo vi /etc/audit/audit.rules
[sudo] passwordfor tommy:
# This filecontains the auditctl rules that are loaded
# whenever theaudit daemon is started via the initscripts.
# The rules aresimply the parameters that would be passed
# to auditctl.
# First rule -delete all
-D
# Increase thebuffers to survive stress events.
# Make thisbigger for busy systems
-b 320
# Feel free toadd below this line. See auditctl man page
-w /etc/passwd -p rwxa-w / etc / passwd -prwxaステートメントが追加されたルールです
passwdファイルの変更をテストするための監査情報
新しいユーザーを作成し、パスワードを設定します
[tommy @ xie-testlog] $ sudo useradd lily
[tommy @ xie-testlog] $ sudo passwd lily
ユーザーパスワードを入力してください:
パスワードをもう一度入力します。
次に、ausearchツールを使用して監査ログを表示し、useraddで追加したばかりのユーザーの監査情報をフィルタリングします。
[tommy@xie-test log]$ sudo ausearch -f/etc/passwd | grep useradd
type=SYSCALLmsg=audit(1504005888.886:16996): arch=c000003e syscall=2 success=yes exit=4a0=7fceac18869a a1=80000 a2=1b6 a3=0 items=3 ppid=27342 pid=27343 auid=503uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2416comm="useradd" exe="/usr/sbin/useradd" key=(null)
type=SYSCALLmsg=audit(1504005888.887:16997): arch=c000003e syscall=2 success=yes exit=5a0=7fceb3434ce0 a1=2 a2=1b6 a3=0 items=3 ppid=27342 pid=27343 auid=503 uid=0gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2416 comm="useradd" exe="/usr/sbin/useradd"key=(null)
type=SYSCALLmsg=audit(1504005888.899:16998): arch=c000003e syscall=2 success=yes exit=9a0=7fceac18869a a1=80000 a2=1b6 a3=0 items=3 ppid=27342 pid=27343 auid=503uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2416comm="useradd" exe="/usr/sbin/useradd" key=(null)
type=SYSCALLmsg=audit(1504005888.900:17000): arch=c000003e syscall=2 success=yes exit=10a0=7fceac18869a a1=80000 a2=1b6 a3=0 items=3 ppid=27342 pid=27343 auid=503uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2416comm="useradd" exe="/usr/sbin/useradd" key=(null)
type=SYSCALLmsg=audit(1504005889.008:17004): arch=c000003e syscall=82 success=yes exit=0a0=7fff8135ec40 a1=7fceb3434ce0 a2=7fff8135eb00 a3=0 items=13 ppid=27342pid=27343 auid=503 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0tty=pts1 ses=2416 comm="useradd" exe="/usr/sbin/useradd"key=(null)
パラメータの説明:
時間:監査時間。
•名前:監査オブジェクト
•cwd:現在のパス
•syscall:関連するシステムコール
•auid:ユーザーIDを監査します
•uidおよびgid:ファイルにアクセスするためのユーザーIDおよびユーザーグループID
•comm:ユーザーがファイルにアクセスするためのコマンド
•exe:上記のコマンドの実行可能ファイルパス
生成された監査レポートをaureportから表示します
[tommy@xie-testlog]$ sudo aureport
Summary Report
======================
Range of time inlogs: 2017年08月29日 19:23:12.160 - 2017年08月29日 19:50:57.654
Selected time forreport: 2017年08月29日 19:23:12 - 2017年08月29日 19:50:57.654
Number ofchanges in configuration: 3
Number ofchanges to accounts, groups, or roles: 6
Number oflogins: 0
Number of failedlogins: 0
Number ofauthentications: 3
Number of failedauthentications: 1
Number of users:3
Number ofterminals: 5
Number of hostnames: 1
Number ofexecutables: 9
Number of files:6
Number of AVC's:0
Number of MACevents: 0
Number of failedsyscalls: 0
Number ofanomaly events: 0
Number ofresponses to anomaly events: 0
Number of cryptoevents: 0
Number of keys:0
Number ofprocess IDs: 47
Number ofevents: 505誤った認証の失敗認証が1であることがわかりました。これは、今sudoコマンドを使用したときに、ユーザーパスワードの入力を求められ、間違ったパスワードを入力したため、記録されたためです。
注:auditdの監査ログは/var/log/audit/audit.logにあります。ルールが他にもあると、ログが非常に大きくなるため、定期的にログを削除する必要があります。ログを削除するときは、再起動に注意してください。監査されたサービス
auditd.confファイルの分析
重要なパラメータは次のとおりです。
log_file:監査ログファイルの場所
num_logs:監査ログファイルの数
max_log_file:監査ログファイルの容量
max_log_file_action:監査ログファイルが容量を超えたときの操作、ここではローテーション、元のログファイルはリサイクルされます
audit.logログファイルの分析
msg = auditの後、コロンの前の数字の文字列はLinuxシステムの時刻です。ツールを使用して、使い慣れた時刻形式に変換する必要があります。ここでは、このWebサイトのツールを使用し、この時刻を入力して確認します。
ウェブサイト:tool.chinaz.com/Tools/unixtime.aspx
入力後の対応する時間を確認できます
addr:上記の操作のホストアドレスです(sshd)
補足事項
audit.logを確認したところ、ログがたくさんあり、useradd操作などの対応する操作が見つかりましたが、問題が発生しました。この操作がどのIPに対応するのかわかりませんでした。1日話し合った後、以下はファイル/ etc / passwdの監査です。例として、この問題の分析を次に示します。
観察を容易にするために、最初にツールを使用してファイル/var/log/audit.logをコピーし、次にnotepad ++で監査ログを開きました。最初はuseraddlilyやpasswdなどの操作を使用していたため、最初にcommをすばやく入力しました。 Locateuseraddまたはpasswd操作コマンドによって記録されたログの場所に移動します
赤い線を引いた部分がuseraddに配置され、ユーザーの操作レコードが追加されていることがわかります。このレコードの左側に「ppid」という単語があります。
目、注意してください、これは非常に重要な親プロセスです。これは、以下に示すように、そのipログインに対応する重要な情報です。
赤い線を引いたppidが15111であることがわかります
次に、この15111に基づいてファイル内の番号15111を調べたところ、詳細なIPが表示されている場所が見つかり、驚きの発見がありました。
ユーザーID = 15111のIPホストが見つかり、IPは192.168.10.43であることがわかります。このユーザーIDは、現在ppidに対応しているため、次のようになります。
192.168.10.43のホストがuseradd操作を実行しました!