Као администратори система, особље групе за подршку или једноставно као мера одржавања најбољег нивоа контроле и сервера и клијентских рачунара организације, он непрестано врши ревизију оперативног система како би био корак испред грешака које се могу догодити и на тај начин очувати интегритет и доступност система, као и његове улоге, услуге и елементе ускладиштене у њему.
Шта је то ревизија ЛинукаКада говоримо о систему ревизије у Линук окружењу, говоримо о механизму који пружа начин за праћење информација релевантних за безбедност у наведеном оперативном систему.
Ревизија се састоји од испитивања различитих делова који посебно чине тај систем, са критичком оценом, и по потреби тестова у различитим областима од интереса.
На основу овог концепта, данас ће Солветиц анализирати два најбоља алата за процес ревизије у Линуку: аудитд и аусеарцх.
Важно је разјаснити да ревизија не пружа додатну сигурност оперативном систему, али се може користити за откривање кршења сигурносних политика које се користе у систему и на тај начин бити упознат са њима.
РевизијаАудитд је Линук систем за ревизију који се ослања на унапред конфигурисана правила за генерисање уноса у дневник и на тај начин складишти што је могуће више информација о догађајима који се дешавају у систему.
Ове прикупљене информације од кључне су важности за критична окружења мисије како би се утврдио прекршитељ сигурносних политика и радње које су предузели, те на тај начин омогућиле да се све сигурносне радње и нове политике створене у организацији усредсреде на побољшање цјелокупног оперативног окружења.
Аудитд може снимити следеће датотеке дневника
- Датум, време, врста и резултат догађаја.
- Ознаке осетљивости субјекта и објекта.
- Повезивање догађаја са идентитетом корисника који је извршио догађај.
- Имплементирајте све измене у конфигурацију ревизије и покушајте да приступите датотекама дневника ревизије.
- Чувајте све употребе механизама за потврду идентитета, као што су ССХ, Керберос и други.
- Могуће је прећи на било коју поуздану базу података, на пример / етц / пассвд.
- Снима сваки покушај увоза или извоза информација у систем или из њега.
- Укључује или искључује догађаје засноване на идентитету корисника, ознакама субјекта и објекта и другим атрибутима.
ЗахтевиНа исти начин, употреба система ревизије је такође неопходан услов за низ сертификата који се односе на безбедност ако је то у неком тренутку потребно. Ревизија је осмишљена тако да испуни или премаши захтеве следећих светских смерница о усклађености или сертификата:
- Профил заштите контролисаног приступа (ЦАПП)
- Означен профил заштите (ЛСПП)
- Контрола приступа бази правила (РСБАЦ)
- Оперативни приручник Националног програма индустријске безбедности (НИСПОМ)
- Федерални закон о управљању безбедношћу информација (ФИСМА)
- Индустрија платних картица - Стандард безбедности података (ПЦИ -ДСС)
- Сигурносно -технички водичи за имплементацију (СТИГ)
Додатне погодностиНеке од додатних предности коришћења система ревизије Линука су следеће:
- Не захтевају спољне програме или процесе за покретање на систему који га чини самодостатним.
- Високо се конфигурише, па нам омогућава да видимо било коју операцију система коју желимо.
- Помаже у откривању или анализирању потенцијалних компромиса, на нивоу безбедности, система.
- Способан је да функционише као независни систем детекције.
- Може да ради са системима за откривање упада како би омогућио откривање упада.
- То је витално средство за ревизију форензичке истраге.
Иако се неки изрази могу чинити чуднима, ако смо посвећени безбедности, ово је несумњиво једна од најбољих опција.
1. Компоненте система ревизије за Линук ревизију
Систем ревизије има две основне компоненте које су:
- Корисничке апликације и помоћни програми или алати
- Обрада системских позива на нивоу језгра, која прихвата системске позиве из апликација простора корисника и пролази кроз три врсте филтера: кориснички, задатак, излаз или изузимање.
/вар/лог/аудит/аудит.логПоред овога, аудиспд је мултиплексер догађаја који ступа у интеракцију са аудитдом и шаље догађаје другим програмима који желе да изврше обраду догађаја у реалном времену.
Постоји неколико корисничких алата за управљање и преузимање информација из система ревизије, а то су:
АудитцтлТо је помоћни програм за контролу система ревизије језгра.
АусеарцхТо је услужни програм за претраживање датотека дневника ревизије за одређене догађаје.
АурепортТо је услужни програм за креирање извештаја о снимљеним догађајима.
За ову анализу користићемо ЦентОС 7
2. Инсталирајте и конфигурирајте аудитд на ЦентОС 7
Први корак је да се уверите да је алат за ревизију инсталиран на систему помоћу команде рпм и услужног програма греп на следећи начин:
рпм -ка | греп аудитРезултат ће бити:
У случају да немамо ревизорске пакете, морамо извршити следећу команду као роот корисници:
иум инсталл аудитЈедном инсталирани морамо конфигурирати је ли ревизија омогућена, за то ћемо извршити било коју од сљедећих наредби према њиховом редослиједу:
На ЦентОС -у или РХЕЛ 7
системцтл је омогућен аудитдсистемцтл статус аудитдсистемцтл старт аудитд (покреће услугу) системцтл енабле аудитд (омогућава услугу)
На ЦентОС -у или РХЕЛ -у 6
статус аудитд статуссервице аудитд старт (покреће услугу) цхкцонфиг аудитд он (омогућава услугу)
Видимо да је његов статус активан.
3. Ревизија конфигурације
Да бисмо конфигурисали аудитд, морамо користити главну конфигурациону датотеку /етц/аудит/аудитд.цонф јер ће тамо бити могуће контролисати како услуга ради, као што је дефинисање локације датотеке дневника, максималног броја датотека дневника, формата записа , како руковати пуним дисковима, ротирати записе и више опција.
За ово ћемо користити жељени уређивач:
нано /етц/аудит/аудитд.цонфТамо ћемо видети следеће:
Можемо видети да нам сваки ред омогућава да означимо одређену радњу и можемо је променити по потреби.
4. Правила ревизије у Линук -у
Као што је горе наведено, аудитд користи правила за прикупљање специфичних информација из језгра. Ова правила су у основи опције аудитцтл које се могу унапред конфигурисати у /етц/аудит/рулес.д/аудит.рулес датотеци.
Постоје три врсте правила ревизије која се могу дефинисати, а то су:
Правила контролеОни омогућавају мењање понашања система ревизије и неких његових поставки.
Правила система датотекаОва правила дозвољавају ревизију приступа одређеној датотеци или директорију.
Правила системског позиваОни омогућавају снимање системских позива било ког програма.
Да бисмо приступили овим правилима, ићи ћемо на следећу руту помоћу жељеног уређивача:
нано /етц/аудит/рулес.д/аудит.рулесВидећемо следеће:
У овој датотеци, у првом одељку морамо додати контролна правила. Затим додајте правила ревизије у средњи део и коначно последњи одељак садржи параметре непроменљивости који су такође контролна правила.
Неки примери ових правила су:
Уклоните сва претходна правила
-Д
Одредите величину бафера
-б 3074
Неуспех ствара опцију панике
-ф 4
Креирајте највише 120 порука ревизије у секунди
-р 120
Пример правила је следећи:
Ту имамо следеће:
Користи се за навођење датотеке или директоријума за гледање.
-в
ДозволеТо су дозволе за регистрацију, р - за приступ читању, в - за приступ писању, к - приступ за извршавање и - за промену атрибута датотеке или директорија.
-п
Идентификујте скуп правилаОмогућава вам да поставите опционални ланац да бисте идентификовали које правило (или скуп правила) је креирало одређену ставку регистра.
-к
Када су правила дефинисана, користимо комбинацију тастера Цтрл + О да сачувамо датотеку и Цтрл + Кс да изађемо из ње. Додаћемо ова правила, узимајући она из примера извршавањем следећих редова као роот:
аудитцтл -в / етц / пассвд -п ва -к пассвд_цхангесаудитцтл -в / етц / гроуп -п ва -к гроуп_цхангесаудитцтл -в / етц / судоерс -п ва -к судоерс_цхангесДа бисмо видели тренутна правила, извршићемо следеће:
судо аудитцтл -л
На овај начин ревизија постаје драгоцен ревизорски алат у ЦентОС -у 7.
5. Аусеарцх Линук
Помоћни програм аусеарцх дизајниран је тако да омогућава претраживање датотека дневника ревизије за одређене догађаје на основу догађаја и различитих критеријума претраживања, као што су идентификатор догађаја, идентификатор кључа, архитектура ЦПУ -а, назив команде, назив хоста, назив групе или ИД групе.
Подразумевано аусеарцх тражи датотеку /вар/лог/аудит/аудит.лог. Можете да наведете другу датотеку помоћу наредбе аусеарцх оптионс -иф филенаме. Пружање више опција у аусеарцх команди еквивалентно је коришћењу оператора АНД.
Да бисмо користили подразумевану вредност и видели тренутне евиденције, извршићемо једну од следећих команди:
цат /вар/лог/аудит/аудит.логцат /вар/лог/аудит/аудит.лог | мање
Као што видимо, подаци представљени овде могу бити збуњујући, због чега аусеарцх користи синтаксу (опцију) аусеарцх да филтрира ове резултате и добије визију много лакшом за управљање.
Имамо опције као што су:
Проверите извршавање дневника процесаТамо можемо користити параметар -п плус ПИД да бисмо добили одређени резултат:
аусеарцх -п 579
Проверавање датотеке евиденције ревизије ради покушаја пријављивањаУ овом случају морамо користити -м параметар за идентификацију специфичних порука и -св за дефинисање успјешних резултата.
аусеарцх -м УСЕР_ЛОГИН -св бр
Пронађите активности корисника у датотеци евиденције АудитдЗа овај резултат користићемо параметар -уа плус корисничко име:
аусеарцх -уа Солветић
Пронађите измене за кориснике, групе и улогеПомоћу ове опције биће могуће прегледати све системске промене које се користе са корисничким налозима, групама и улогама; Можемо навести неколико врста порука одвојених зарезима на следећи начин:
аусеарцх -м АДД_УСЕР, ДЕЛ_УСЕР, УСЕР_ЦХАУТХТОК, АДД_ГРОУП, ДЕЛ_ГРОУП, ЦХГРП_ИД, РОЛЕ_АССИГН, РОЛЕ_РЕМОВЕ -иВидећемо следеће:
Погледајте аусеарцх помоћДа бисмо видели различите опције овог услужног програма, извршићемо следеће:
човек аусеарцх
Тако можемо видети различите опције приликом спровођења потпуне и ефикасне ревизије у ЦентОС -у или РедХату.
