- 1. Познавати систем ревизије Линука
- 2. Проверите инсталацију система ревизије
- 3. Конфигуришите систем ревизије у ЦентОС 7
- 4. Упознајте евиденције системске ревизије у ЦентОС -у 7
- 5. Претражите догађаје ревизије за одређене догађаје
- 6. Генеришите ревизорске извештаје
- 7. Како појединачно анализирати процесе
Када наше улоге и функције укључују управљање свим елементима корпоративне инфраструктуре, било на нивоу мреже или система, морамо имати корисне алате за праћење, праћење догађаја и осигуравање оптималних перформанси свих његових компоненти.
Данас ћемо прегледати како имплементирати и користити систем ревизије Линука, алат за многе непознате. Знамо да постоје помоћни програми трећих страна који нам омогућавају управљање различитим параметрима у систему, али овај услужни програм превазилази оно што нам је потребно и размотрићемо зашто.
За овај водич ћемо анализирати услужни програм у окружењу ЦентОС 7.
1. Познавати систем ревизије Линука
Помоћу система ревизије можемо бити ажурирани у погледу основних безбедносних информација у нашем систему.
Систем ревизије нам пружа извештаје о свим догађајима који се дешавају у систему на основу унапред дефинисаних правила; Важно је појаснити да са системом ревизије не додајемо сигурност ЦентОС -у 7, али нам омогућава да анализирамо недостатке које систем има да предузме корективне мере.
Информације способне за анализу
- Промене базе података, на пример промене путање / етц / пассвд.
- Систем ревизије обезбеђује датум, време и врсту догађаја.
- Покушаји увоза или извоза информација унутар система.
- Механизми аутентификације корисника.
- Све измене измена ревизије и покушаји приступа ревизорским записима, између осталог.
2. Проверите инсталацију система ревизије
Унутар система ревизије имамо две важне шеме које треба узети у обзир:
1. Језгро система ревизије узима све догађаје које је корисник обрадио и шаље те информације демону ревизије.
2. Демон ревизије узима ове информације и ствара записе.
Систем ревизије управља са два пакета: ревизија И аудит-либсОни су подразумевано инсталирани у ЦентОС 7, њихову инсталацију можемо проверити помоћу следеће команде:
судо иум лист аудит-либс
У случају да их немамо, можемо инсталирати систем ревизије помоћу следеће наредбе:
судо иум ревизија инсталирањаНакон што су инсталирани, морамо видети следећи текст:
Инсталирани пакети аудит.к86_64 аудит-либс.к86_64Пређимо на конфигурацију система.
3. Конфигуришите систем ревизије у ЦентОС 7
Када потврдимо да имамо потребне пакете, променићемо конфигурацију датотеке аудитд.цонф и управо у овој датотеци имамо могућност да конфигуришемо регистре, догађаје и друго. За приступ овој датотеци користићемо следећу команду:
судо нано /етц/аудит/аудитд.цонфПриказаће се следећи прозор:
Најважнији параметри
- нум_логс: Омогућава дефинисање броја евиденција које се записују у опрему.
- мак_лог_филе: Помоћу овог параметра можемо дефинирати максималну величину дневника.
- спаце_лефт: Можемо поставити количину слободног простора на диску.
- диск_фулл_ацтион: Можемо дефинисати одређену радњу када је диск пун.
Као што видимо, можемо подесити различите параметре. На пример, ако желимо да број дневника буде 12, једноставно бришемо подразумевану вредност (5) и додајемо жељену (12). Ако желимо да променимо величину дневника на 20, једноставно мењамо подразумевану вредност (6) на потребну (20).
Спремамо измене помоћу комбинације Цтрл + О. и излазимо из уређивача помоћу комбинације Цтрл + Кс. Када су измене обрађене, морамо поново покренути услугу ревизије помоћу наредбе:
судо сервице аудитд рестартБелешкаАко желимо да уредимо параметре правила, морамо да уредимо датотеку аудит.рулес помоћу следеће команде:
/етц/аудит/рулес.д/аудит.рулес
4. Упознајте евиденције системске ревизије у ЦентОС -у 7
Систем ревизије подразумевано складишти све догађаје који су се догодили у ЦентОС -у на путањи /вар/лог/аудит/аудит.лог и ове датотеке садрже много информација и кода који многима од нас можда неће бити тако лак за разумевање, али Солветиц води рачуна о томе да мало сажме ове датотеке.
Да бисмо показали како систем ревизије функционише, створили смо правило које се зове ссхцонфигцханге и које се може креирати помоћу следеће команде:
судо аудитцтл -в / етц / ссх / ссхд_цонфиг -п рвка -к ссхцонфигцхангеДа бисмо видели правило, користимо следећу синтаксу:
судо цат / етц / ссх / ссхд_цонфиг
Сада ћемо видети дневник који је направио алат за ревизију система уношењем следећег:
судо нано /вар/лог/аудит/аудит.лог
Ослањаћемо се на три (3) витална записа:
- СИСЦАЛЛ
- ЦВД
- ПАТХ
Ове датотеке су састављене на следећи начин:
- Кључна реч: Односи се на назив процеса (ПАТХ, ЦВД, итд.)
- Временска ознака: Односи се на датум и време (1469708505.235)
- Иди: Састоји се од ИД -а предметног догађаја (153)
СИСЦАЛЛ догађај
СИСЦАЛЛ се односи на поруку коју генерише позив језгра из система за ревизију, поље поруке = ревизија (1469708505.235:153):
У временска ознака и поље ИД видимо да ова три записа имају исту вредност (1469708505.235: 153) што указује да су ова три записа ускладиштена са истим догађајем ревизије.
Тхе лучно поље односи се на архитектуру машине, у овом случају 40000003 означава да је то и386, да је вредност ц000003е односила би се на к86_64 машину.
Тхе Сисцалл поље помиње врсту позива који је послат систему. Вредност може да варира, у овом случају је 5. Можемо користити команду судо аусисцалл 5 да видимо статус услуге (Отворено).
Постоји више од 300 вредности, ако желимо да видимо шта вредности уопште значе, можемо користити наредбу:
судо аусисцалл -думпВидећемо све вредности и њихово значење:
Тхе Поље успеха Каже нам да ли је позив на догађај био успешан или не, да или не. Можемо лоцирати догађај СИСЦАЛЛ и померити се улево да бисмо видели остале извештаје.
Тхе уид поље односи се на корисника који је покренуо услугу ревизије, у овом случају то је уид = 0.
Тхе цомм фиелд односи се на команду која је коришћена за приказивање поруке, па видимо да се појављује као цомм = "цат".
Тхе еке фиелд Она означава путању до команде која је генерисала догађај ревизије, у овом примеру можемо видети да је еке = " / уср / бин / цат".
ЦВД догађај
У ЦВД догађају можемо приметити да нема истих информација као у СИСЦАЛЛ-у, овде имамо директоријум који се користи за чување догађаја, ЦВД-Цуррент Воркинг Дирецтори, па видимо вредност цвд = ” / хоме / Солтициц”.
ПАТХ догађај
У последњем догађају, ПАТХ, видимо да је поље са именом који се односи на датотеку или директоријум који је коришћен за креирање ревизије, у овом случају видимо следеће: наме = " / етц / ссх / ссхд_цонфиг".
5. Претражите догађаје ревизије за одређене догађаје
Један од најзанимљивијих начина на који можемо тражити догађај у ЦентОС 7 је употреба синтаксе:
судо аусеарцх -м Име_догађаја --почни данас -иОва команда нам омогућава да филтрирамо одређени догађај и не морамо да претражујемо целу датотеку догађаја јер је опсежна. У овом случају ћемо тражити све догађаје повезане с пријавом, па ћемо унијети сљедеће:
судо аусеарцх -м ПРИЈАВА --почните данас -иДобијени резултат ће бити следећи:
Такође је могуће филтрирати претрагу према ИД -у догађаја. За то ћемо користити следећу синтаксу:
судо аусеарцх -а_Догађај_Затим ћемо видети како се генеришу извештаји.
6. Генеришите ревизорске извештаје
Један од начина на који можемо боље управљати догађајима је са детаљним извештајем о томе шта се дешава у ЦентОС 7, а са системом ревизије можемо генерисати извештаје који су једноставни и јасни за разумевање како би нам помогли у управљању. За ово ћемо користити наредбу:
судо аурепорт -к -сажетакИ видећемо добијени резултат:
Прва колона коју видимо означава колико је пута команда извршена, а друга колона показује која је команда извршена. На исти начин можемо генерисати извештај са неуспелим догађајима помоћу наредбе:
судо аурепорт -неуспешно
Ако желимо да генеришемо извештај са корисничким именима и системским позивима, користићемо наредбу:
судо аурепорт -ф -и
7. Како појединачно анализирати процесе
Могуће је да понекад морамо анализирати процесе појединачно, а не цијели директориј, за то ћемо користити аутраце, овај алат нам омогућава да надгледамо системске позиве према одређеном процесу. Аутраце резултати се чувају на путањи:
/вар/лог/аудит/аудит.логНа пример анализираћемо путању / канту / датум, за ово ћемо користити следеће:
судо аутраце / бин / дате
Видимо да је догађај са ИД -ом 16541 креиран. Сада настављамо да уносимо следећу команду да бисмо видели резиме догађаја:
удо аусеарцх -п 16541 --рав | аурепорт -ф -и
На овај начин можемо појединачно анализирати датотеке. На следећој вези можемо видети све врсте записа које систем ревизије може да ревидира у ЦентОС 7.
На овај начин видимо како нам систем ревизије у ЦентОС 7 може помоћи да управљамо и надгледамо догађаје који се дешавају на нашим рачунарима и на тај начин осигурамо да имамо сигуран, стабилан и оптималан систем.
На крају, остављамо вам водич о бесплатном алату ВинАудит за обављање ревизија у систему Виндовс:
Ревизија помоћу програма ВинАудит