Auditd nedir??

Auditd, Linux Denetim Sisteminin kullanıcı alanı bileşenidir. Auditd, Linux Audit Daemon'un kısaltmasıdır. Linux'ta arka plan programı arka planda çalışan hizmet olarak adlandırılır ve arka planda çalıştığı için uygulama hizmetinin sonuna eklenmiş bir 'd' vardır. Auditd'nin işi, denetimin günlük dosyalarını toplamak ve bir arka plan hizmeti olarak diske yazmaktır

Auditd'yi neden kullanmalıyım??

Bu Linux hizmeti, kullanıcıya Linux'ta bir güvenlik denetimi özelliği sağlar. Auditd tarafından toplanan ve kaydedilen loglar, kullanıcı tarafından Linux ortamında gerçekleştirilen farklı faaliyetlerdir ve herhangi bir kullanıcının kurumsal veya çok kullanıcılı ortamda diğer kullanıcıların neler yaptığını sorgulamak istediği bir durum varsa, o kullanıcı bunu yapabilir. günlükler olarak bilinen bu tür bilgilere basitleştirilmiş ve küçültülmüş bir biçimde erişin. Ayrıca, bir kullanıcının sisteminde olağandışı bir etkinlik olduysa, diyelim ki sisteminin güvenliği ihlal edildi, o zaman kullanıcı geri izleyebilir ve sisteminin nasıl ele geçirildiğini görebilir ve bu, birçok durumda olaya müdahale için de yardımcı olabilir.

Denetimin temelleri

Kullanıcı kaydedilen günlükleri şu şekilde arayabilir: denetlenmiş kullanarak ausearch ve aureport araçlar. Denetim kuralları dizindedir, /etc/denetim/denetim.kurallar hangi tarafından okunabilir denetimctl başlangıçta. Ayrıca, bu kurallar kullanılarak da değiştirilebilir denetimctl. Denetleme yapılandırma dosyası şu adreste mevcuttur: /etc/denetim/denetim.konf.

Kurulum

Debian tabanlı Linux dağıtımlarında, henüz kurulmamışsa, auditd'yi kurmak için aşağıdaki komut kullanılabilir:

[e-posta korumalı]:~$ sudo apt-get install auditd audispd-plugins

Auditd için temel komut:

Auditd'yi başlatmak için:

$ hizmet denetimi başlangıcı

Auditd'yi durdurmak için:

$ hizmet denetimi durdurma

Auditd'yi yeniden başlatmak için:

$ hizmet denetimi yeniden başlatma

Auditd durumunu almak için:

$ hizmet denetimi durumu

Koşullu yeniden başlatma denetimi için:

$ hizmet denetimi condrestart

Auditd hizmetini yeniden yüklemek için:

$ hizmet denetimi yeniden yükleme

Denetim günlüklerini döndürmek için:

$ hizmet denetimi döndürme

Auditd konfigürasyonları çıktısını kontrol etmek için:

$ chkconfig --list denetimi

Günlüklere hangi bilgiler kaydedilebilir??

• Bir olayın türü ve sonucu gibi zaman damgası ve olay bilgileri.
• Olay, onu tetikleyen kullanıcıyla birlikte tetiklendi.
• Denetim yapılandırma dosyalarındaki değişiklikler.
• Denetim günlüğü dosyaları için erişim denemeleri.
• Kimliği doğrulanmış kullanıcılarla ssh vb. tüm kimlik doğrulama olayları.
• /etc/passwd içindeki parolalar gibi hassas dosyalarda veya veritabanlarında yapılan değişiklikler.
• Sistemden ve sistemden gelen ve giden bilgiler.

Denetimle ilgili diğer yardımcı programlar:

Denetimle ilgili diğer bazı önemli araçlar aşağıda verilmiştir. Yaygın olarak kullanılan birkaç tanesini ayrıntılı olarak tartışacağız.

denetimctl:

Bu yardımcı program, denetimin davranış durumunu almak, denetim yapılandırmalarını ayarlamak, değiştirmek veya güncellemek için kullanılır. Auditctl kullanımı için sözdizimi:

Auditctl [seçenekler]

En çok kullanılan seçenekler veya işaretler şunlardır:

-w

Bir dosyaya bir saat eklemek, denetimin o dosyaya göz kulak olacağı ve o dosyayla ilgili kullanıcı etkinliklerini günlüklere ekleyeceği anlamına gelir.

-k

Belirtilen yapılandırmaya bir filtre anahtarı veya adı girmek için.

-p

Dosyaların iznine göre filtre eklemek için.

-S

Bir konfigürasyon için günlük yakalamayı bastırmak için.

-bir

Bu seçeneğin belirtilen girişi için tüm sonuçları almak için.

Örneğin, filtrelenmiş 'shadow-key' anahtar kelimesiyle ve 'rwxa' izinleriyle /etc/shadow dosyasına bir saat eklemek için:

$ auditctl -w /etc/shadow -k shadow-file -p rwxa

aureport:

Bu yardımcı program, kaydedilen günlüklerden denetim günlüğü özet raporları oluşturmak için kullanılır. Rapor girişi, stdin kullanılarak aureport'a beslenen ham günlük verileri de olabilir. Aureport kullanımı için temel sözdizimi:

aureport [seçenekler]

Temel ve en sık kullanılan aureport seçeneklerinden bazıları aşağıdaki gibidir:

-k

Denetim kurallarında veya yapılandırmalarında belirtilen anahtarlara dayalı bir rapor oluşturmak için.

-ben

Kullanıcı kimliği yerine kullanıcı adının görüntülenmesi gibi id gibi sayısal bilgiler yerine metinsel bilgileri görüntülemek için.

-ben

Tüm kullanıcılar için kimlik doğrulama girişimlerinin raporunu oluşturmak için.

-ben

Kullanıcıların giriş bilgilerini gösteren rapor oluşturmak için.

arama:

Bu yardımcı program, denetim günlükleri veya olayları için bir araç arıyor. Arama sonuçları, farklı arama sorgularına dayalı olarak görüntülenir. Aureport gibi, bu arama sorguları da stdin kullanılarak ausearch'e beslenen ham günlük verileri olabilir. Varsayılan olarak, ausearch, yerleştirilen günlükleri sorgular /var/log/denetim/denetim.günlük, aşağıdaki gibi doğrudan görüntülenebilir veya yazarak komut olarak erişilebilir:

$ cat /var/log/denetim/denetim.günlük

Ausearch'ü kullanmak için basit sözdizimi şöyledir:

arama [seçenekler]

Ayrıca, ausearch komutuyla kullanılabilecek bazı bayraklar vardır, yaygın olarak kullanılan bazı bayraklar şunlardır:

-p

Bu bayrak, günlükler için sorguları aramak için işlem kimliklerini girmek için kullanılır, e.g., ausearch -p 6171.

-m

Bu bayrak, günlük dosyalarında belirli dizeleri aramak için kullanılır, e.g., ausearch -m USER_LOGIN.

-sv

Bu seçenek, kullanıcı günlüklerin belirli bir bölümü için başarı değerini sorguluyorsa başarı değerleridir. Bu bayrak genellikle -m bayrağıyla birlikte kullanılır ausearch -m USER_LOGIN -sv hayır.

-u

Bu seçenek, arama sorgusu için bir kullanıcı adı filtresi girmek için kullanılır, e.g., ausearch -ua kökü.

-ts

Bu seçenek, arama sorgusu için bir zaman damgası filtresi girmek için kullanılır, e.g., ausearch -ts dün.

denetimspd:

Bu yardımcı program, olayların çoğullanması için bir arka plan programı olarak kullanılır.

autrace:

Bu yardımcı program, denetim bileşenlerini kullanarak ikili dosyaları izlemek için kullanılır.

aulast:

Bu yardımcı program, günlüklere kaydedilen en son etkinlikleri gösterir.

aulastlog:

Bu yardımcı program, tüm kullanıcıların veya belirli bir kullanıcının en son oturum açma bilgilerini gösterir.

ausyscall:

Bu yardımcı program, sistem çağrı adlarının ve numaralarının eşlenmesini sağlar.

auvirt:

Bu yardımcı program, özellikle sanal makineler için denetim bilgilerini gösterir.

Sonuç

Linux Denetimi, teknik olmayan Linux kullanıcıları için nispeten gelişmiş bir konu olmasına rağmen, kullanıcıların kendileri için karar vermesine izin vermek, Linux'un sunduğu şeydir. Diğer işletim sistemlerinden farklı olarak Linux işletim sistemleri, kullanıcılarını kendi ortamlarının kontrolünde tutma eğilimindedir. Ayrıca acemi veya teknik olmayan bir kullanıcı olarak, kişi her zaman kendi gelişimi için öğrenmelidir. Umarım bu makale yeni ve faydalı bir şeyler öğrenmenize yardımcı olmuştur.