Slik overvåker du hendelser på Linux-datasenter-serverne med auditd

Bilde: Jack Wallen

Linux Auditing System er en enestående måte for sysadmins å lage en loggregel for nesten alle handlinger på en datasenter-server. Å bruke dette systemet betyr at du kan spore hendelser, registrere hendelsene og til og med oppdage misbruk eller uautorisert aktivitet, via loggfilene. Audit-demonet (auditd) lar deg velge hvilke handlinger på serveren som skal overvåkes (i motsetning til å overvåke alt) og ikke forstyrrer standard loggverktøyene (for eksempel syslog).

Datasenter må leses

  • 8 datasenterprognoser for 2020
  • 7 nettverksvarslinger for 2020: Automatisering, edge computing, Wi-Fi 6, mer
  • Beste praksis for server virtualisering og tips om hva du ikke skal gjøre
  • Kvanteberegning: Syv sannheter du trenger å vite

Det eneste forbeholdet å kontrollere er at det ikke faktisk gir noen ekstra sikkerhet til systemet ditt. I stedet gir det midlene for deg å følge med på eventuelle brudd som oppstår på en server, slik at du deretter kan iverksette tiltak mot misbruket.

Med dette verktøyet kan administratorer holde oversikt over hvilket som helst antall systemer og tjenester ved å opprette regler via kommandolinjen. Auditd opererer på kjernenivå, slik at du har tilgang til å revidere hvilken tjeneste du ønsker. Audit-systemet er tilgjengelig for de fleste Linux-distribusjoner, men jeg vil demonstrere bruken av den på Ubuntu Server 18.04.

Hva trenger du

Det eneste du trenger er en Linux-server (eller desktop, hvis du foretrekker det) og en brukerkonto med sudo-rettigheter. La oss se hvordan auditd fungerer med de som er klare.

Installasjon

Auditd er mest sannsynlig allerede installert på maskinen din. I sjansen er det ikke, du kan installere den med kommandoen:

 sudo apt-get install auditd -y 

Når du er installert, må du sørge for å starte og aktivere systemet med kommandoene:

 sudo systemctl start auditd sudo systemctl enable auditd 

Konfigurere auditd

Konfigurasjonen av auditd blir håndtert i en enkelt fil (mens regler håndteres i en helt egen fil). Selv om standard skal være tilstrekkelig for de fleste behov, kan du konfigurere systemet ved å utgi kommandoen:

 sudo nano /etc/audit/audit.conf 

I den filen vil du kanskje konfigurere følgende oppføringer:

  • Plasseringen av loggfilen er konfigurert i linjen log_file = /var/log/audit/audit.log .
  • Antall logger som skal beholdes på serveren, er konfigurert i oppføringen num_logs = 5 .
  • Konfigurer maksimal loggfilstørrelse (i MB) på linjen max_log_file = 8 .

Hvis du gjør noen endringer i den konfigurasjonen, må du starte auditd på nytt med kommandoen:

 sudo systemctl omstart auditd 

Opprette en regel

Den første tingen å gjøre er å kontrollere at du begynner med en ren skifer. Gi kommandoen:

 sudo auditctl -l 

Kommandoen over skal vise at det ikke er noen regler ( figur A ).

Figur A: Vi har en ren skifer for revisjon.

La oss lage en regel som vil overvåke både / etc / passwd og / etc / shadow for eventuelle endringer. Det vi ønsker er å lage regler som vil overvåke en spesifikk bane og se etter endringer i skrivetillatelsesattributtet til den filen. Med andre ord, hvis en ondsinnet bruker endrer skrivetillatelsen på passwd- og skyggefilene, blir den logget. For å gjøre dette, gir vi kommandoen:

 sudo nano /etc/audit/rules.d/audit.rules 

Legg til følgende to linjer nederst i filen:

 -w / etc / skygge -p wa -k skygge -w / etc / passwd -p wa -k passwd 

Fordelingen av linjene ovenfor ser slik ut:

  • -w er veien å se på.
  • -p er tillatelsene til å overvåke.
  • -k er hovednavnet for regelen.

Når det gjelder tillatelsene, er den noe lik standard Linux, med ett tillegg:

  • r - les
  • w - skriv
  • x - kjør
  • a - endring i filens attributt (enten eierskap eller tillatelser)

I vårt eksempel ønsker vi å se skrivetillatelsene (w) for filene for enhver endring i attributtet (a), så vår tillatelse vil være wa .

Når vi har lagt til de to nye reglene, kan du lagre og lukke filen og deretter starte auditd på nytt med kommandoen:

 sudo systemctl omstart auditd 

Du skal nå kunne se de nye reglene som er oppført ( figur B ), ved å gi kommandoen:

 sudo auditctl -l 

Figur B: Våre nye regler er på plass.

Viser revisjonsloggfilen

Du kan se alle oppføringer i revisjonsloggfilen ved å gi kommandoen:

 mindre /var/log/audit/audit.log 

Du vil raskt finne filen som er fullpakket med oppføringer. Det må være en enklere måte. Heldigvis er det det. Fordi vi har inkludert keynames i reglene våre, kan vi bruke et innebygd auditd søkeverktøy for å se bare oppføringene som inneholder enten passwd- eller skyggenøkkelnavnene. Hvis du vil se alle oppføringer som inneholder passwd-keyname, utgir du kommandoen:

 ausearch -k passwd 

Du kan se alle oppføringer som er oppført, som inneholder det angitte keyname ( figur C ).

Figur C: Passwd-keyname viser to oppføringer så langt.

Si at du legger til en ny bruker (med sudo adduser- kommandoen). Fordi det kreves at du oppretter en passordoppføring for den brukeren (som er skrevet til / etc / passwd ), vil den komme opp i ausearch -k passwd-søkekommandoen ( figur D ).

Figur D: Et nytt passord er opprettet for en ny bruker og logget med auditd.

Ausearch- verktøyet er utrolig kraftig. For å finne ut mer om bruken, må du lese gjennom man-siden med kommandomannen ausearch .

Og det er essensen av å bruke auditd på Linux-serverne dine for datasenter. Du har nå midler til å holde oversikt over nesten alle systemer eller tjenester du trenger å se på.

Datasenter Trender Nyhetsbrev

DevOps, virtualisering, hybridsky, lagring og driftseffektivitet er bare noen av datasentertemaene vi vil trekke frem. Leveres mandager og onsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com