CentOS 7'de denetim sistemi nasıl kullanılır?

CentOS 7'de denetim sistemi nasıl kullanılır?

Rollerimiz ve işlevlerimiz, ister ağ ister sistem düzeyinde olsun, kurumsal altyapının tüm öğelerini yönetmeyi içerdiğinde, olayları izlemek, izlemek ve tüm bileşenlerinin optimum performansını sağlamak için yararlı araçlara sahip olmalıyız.

Bugün gözden geçireceğiz Linux denetim sisteminin nasıl uygulanacağı ve kullanılacağı, birçok bilinmeyen için bir araç. Sistem içinde farklı parametreleri yönetmemize izin veren üçüncü taraf yardımcı programları olduğunu biliyoruz, ancak bu yardımcı program ihtiyacımız olanın ötesine geçiyor ve nedenini gözden geçireceğiz.

Bu eğitim için bir ortamdaki yardımcı programı analiz edeceğiz CentOS7.

1. Linux denetim sistemini bilin


Denetim sistemi ile sistemimizdeki temel güvenlik bilgileri ile ilgili olarak güncellenebiliyoruz.

Denetim sistemi, sistemde meydana gelen tüm olaylar hakkında önceden tanımlanmış kurallara dayalı olarak bize raporlar sunar; Denetim sistemi ile CentOS 7'ye güvenlik eklemediğimizi açıklığa kavuşturmak önemlidir, ancak sistemin hangi kusurları üzerinde düzeltici önlem alması gerektiğini analiz etmemize izin verir.

Analiz edebilen bilgiler

  • Veritabanı değişiklikleri, örneğin yol değişiklikleri / vb / şifre.
  • Denetim sistemi, olayın tarihini, saatini ve türünü sağlar.
  • Sistem içindeki bilgileri içe veya dışa aktarma girişimleri.
  • Kullanıcı doğrulama mekanizmaları.
  • Diğerlerinin yanı sıra, değişiklikleri denetlemeye yönelik tüm değişiklikler ve denetim günlüklerine erişme girişimleri.

2. Denetim sisteminin kurulumunu doğrulayın


Denetim sistemi içinde dikkate almamız gereken iki önemli plan vardır:

1. Denetim sisteminin çekirdeği, kullanıcı tarafından işlenen tüm olayları alır ve bu bilgileri denetim arka plan programına gönderir.

2. Denetim arka plan programı bu bilgileri alır ve kayıtları oluşturur.

Denetim sistemi iki paketi işler: denetim Y denetim kütüphaneleriBunlar varsayılan olarak CentOS 7'de kuruludur, aşağıdaki komutu kullanarak kurulumlarını kontrol edebiliriz: 

 sudo yum list denetim denetim kitaplıkları

Bunların olmaması durumunda aşağıdaki komutu kullanarak denetim sistemini kurabiliriz: 

 sudo yum yükleme denetimi
Kurulduktan sonra aşağıdaki metni görmeliyiz: 
 Yüklü Paketler audit.x86_64 audit-libs.x86_64
Gelelim sistem konfigürasyonuna.

3. Denetim sistemini CentOS 7'de yapılandırın


Gerekli paketlere sahip olduğumuzu doğruladıktan sonra dosyanın konfigürasyonunu değiştireceğiz. Auditd.conf ve bu dosyada kayıtları, olayları ve diğerlerini yapılandırma seçeneğimiz var. Bu dosyaya erişmek için aşağıdaki komutu kullanacağız: 
 sudo nano /etc/audit/auditd.conf
Aşağıdaki pencere görüntülenecektir:

En önemli parametreler

  • num_logs: Ekipmana kaydedilecek log sayısının tanımlanmasını sağlar.
  • max_log_file: Bu parametreyi kullanarak bir logun maksimum boyutunu tanımlayabiliriz.
  • boşluk_sol: Boş disk alanı miktarını ayarlayabiliriz.
  • disk_full_action: Disk dolduğunda belirli bir eylem tanımlayabiliriz.

Gördüğümüz gibi çeşitli parametreleri ayarlayabiliriz. Örneğin, günlük sayısının 12 olmasını istiyorsak, varsayılan değeri (5) siler ve istenen değeri (12) ekleriz. Günlüklerin boyutunu 20 olarak değiştirmek istiyorsak, varsayılan değeri (6) gerekli olana (20) değiştirmemiz yeterlidir.

Kombinasyonu kullanarak değişiklikleri kaydediyoruz Ctrl + O ve kombinasyonu kullanarak editörden çıkıyoruz Ctrl + X. Değişiklikler işlendikten sonra, aşağıdaki komutu kullanarak denetim hizmetini yeniden başlatmalıyız: 

 sudo hizmeti denetimi yeniden başlatma
NotKuralların parametrelerini düzenlemek istiyorsak, aşağıdaki komutu kullanarak audit.rules dosyasını düzenlemeliyiz: 
 /etc/audit/rules.d/audit.rules

4. CentOS 7'de Sistem Denetim günlüklerini anlayın


Varsayılan olarak denetim sistemi, CentOS'ta meydana gelen tüm olayları yolda saklar. /var/log/audit/audit.log ve bu dosyalar çoğumuzun anlaması kolay olmayan birçok bilgi ve kod içeriyor ama Solvetic bu dosyaları biraz özetlemeye özen gösteriyor.

Denetim sisteminin nasıl çalıştığını göstermek için sshconfigchange adında bir kural oluşturduk ve aşağıdaki komut kullanılarak oluşturulabilir: 

 sudo auditctl -w / etc / ssh / sshd_config -p rwxa -k sshconfigchange
Kuralı görmek için aşağıdaki sözdizimini kullanıyoruz: 
 sudo kedi / etc / ssh / sshd_config

Şimdi aşağıdakileri girerek sistem denetim aracı tarafından oluşturulan günlüğü göreceğiz: 

 sudo nano /var/log/audit/audit.log

Üç (3) hayati kayda güveneceğiz:

  • SYSCALL
  • CWD
  • YOL

Bu dosyalar şu şekilde oluşturulmuştur:

  • anahtar kelime: İşlemin adını ifade eder (PATH, CWD, vb.)
  • zaman damgası: Tarih ve saati gösterir (1469708505.235)
  • Gitmek: Söz konusu olayın kimliğinden oluşur (153)

SYSCALL olayı
SYSCALL, denetim sisteminden bir çekirdek çağrısı tarafından üretilen mesajı ifade eder, mesaj alanı = denetim (1469708505.235:153):

İçinde zaman damgası ve kimlik alanı bu üç kaydın aynı denetim olayı ile saklandığını gösteren aynı değere (1469708505.235: 153) sahip olduğunu görüyoruz.

NS kemer alanı makinenin mimarisine atıfta bulunur, bu durumda 40000003, i386 olduğunu gösterir, eğer c000003e değeri olsaydı, bir x86_64 makinesine atıfta bulunurdu.

NS sistem çağrısı alanı sisteme gönderilen aramanın türünden bahseder. Değer değişebilir, bu durumda 5'tir. Hizmetin durumunu (Açık) görmek için sudo ausyscall 5 komutunu kullanabiliriz.

300'den fazla değer var, değerlerin genel olarak ne anlama geldiğini görmek istiyorsak şu komutu kullanabiliriz: 

 sudo ausyscall -dump
Ve tüm değerleri ve anlamlarını göreceğiz:

NS Başarı alanı Bize olay çağrısının başarılı olup olmadığını, evet veya hayır olduğunu söyler. SYSCALL olayını bulabilir ve dahil edilen diğer raporları görmek için sola kaydırabiliriz.

NS kullanıcı kimliği alanı denetim hizmetini başlatan kullanıcıyı ifade eder, bu durumda uid = 0'dır.

NS iletişim alanı mesajı görüntülemek için kullanılan komutu ifade eder, bu yüzden comm = "cat" olarak göründüğünü görüyoruz.

NS exe alanı Denetim olayını oluşturan komutun yolunu gösterir, bu örnekte bunun exe = "/ usr / bin / cat" olduğunu görebiliriz.

CWD olayı
CWD olayında SYSCALL'dakiyle aynı bilginin olmadığını fark edebiliriz, burada olayları kaydetmek için kullanılan dizine, CWD- Current Working Directory'ye sahibiz, dolayısıyla cwd = ”/ home / solventtic” değerini görüyoruz.

PATH olayı
Son etkinlik olan PATH'de görüyoruz ki, isim alanı denetimi oluşturmak için kullanılan dosya veya dizine atıfta bulunur, bu durumda şunu görürüz: name = "/ etc / ssh / sshd_config".

5. Belirli olaylar için denetim etkinliklerini arayın


CentOS 7'de bir olay aramanın en ilginç yollarından biri sözdizimini kullanmaktır: 
 sudo ausearch -m Event_name --bugün başla -i
Bu komut, belirli bir olayı filtrelememize izin verir ve kapsamlı olduğu için tüm olay dosyasını aramak zorunda kalmaz. Bu durumda, oturum açmayla ilgili tüm olayları arayacağız, bu nedenle aşağıdakileri gireceğiz: 
 sudo ausearch -m GİRİŞ -- bugün başla -i
Elde edilen sonuç şu olacaktır:

Aramayı olay kimliğine göre filtrelemek de mümkündür, bunun için aşağıdaki sözdizimini kullanacağız: 

 sudo ausearch -a Event_ID
Daha sonra raporların nasıl oluşturulacağını göreceğiz.

6. Denetim raporları oluştur


Olayları daha iyi yönetebilmemizin yollarından biri, CentOS 7'de neler olduğu hakkında ayrıntılı bir rapor ve denetim sistemi ile yönetimimizde bize yardımcı olması için basit ve anlaşılır raporlar üretebilmemizdir. Bunun için şu komutu kullanacağız: 
 sudo aureport -x -özet
Ve elde edilen sonucu göreceğiz:

Gördüğümüz ilk sütun komutun kaç kez yürütüldüğünü, ikinci sütun ise hangi komutun yürütüldüğünü gösterir. Aynı şekilde, aşağıdaki komutu kullanarak başarısız olaylarla bir rapor oluşturabiliriz: 

 sudo aureport --başarısız

Kullanıcı adları ve sistem çağrıları ile bir rapor oluşturmak istiyorsak şu komutu kullanacağız: 

 sudo aureport -f -i

7. Süreçler bireysel olarak nasıl analiz edilir


Bazen tüm bir dizini değil de süreçleri tek tek analiz etmemiz gerekebilir, bunun için autrace kullanacağız, bu araç belirli bir sürece yapılan sistem çağrılarını izlememizi sağlar. Autrace sonuçları şu yolda saklanır: 
 /var/log/audit/audit.log
Örneğin yolu / bin / tarihi analiz edeceğiz, bunun için aşağıdakileri kullanacağız: 
 sudo autrace/bin/tarih

16541 ID ile event oluşturulduğunu görüyoruz.Şimdi event özetini görmek için aşağıdaki komutu girerek ilerliyoruz: 

 udo ausearch -p 16541 --raw | aureport -f -i

Bu şekilde dosyaları tek tek analiz edebiliriz. Aşağıdaki linkte CentOS 7'de denetim sistemi tarafından denetlenebilecek tüm kayıt türlerini görebiliriz.

Bu şekilde, CentOS 7'deki denetim sisteminin bilgisayarlarımızda meydana gelen olayları yönetmemize ve denetlememize nasıl yardımcı olabileceğini görüyoruz ve böylece güvenli, kararlı ve optimal bir sisteme sahip olmamızı sağlıyoruz.

Son olarak, Windows'ta denetimler gerçekleştirmeniz için size ücretsiz WinAudit aracı hakkında bir eğitim bırakıyoruz:

WinAudit ile Denetim

Arkadaşlarınızla sayfasını paylaşan sitenin gelişimine yardımcı olacak

wave wave wave wave wave

Popüler Mesajlar

wave
1
post-title
Uygulama izinleri nasıl etkinleştirilir Honor 10 Lite
2
post-title
Powershell ile kurulu programların bir listesi nasıl elde edilir
3
post-title
▷ Grup İlkesi bu uygulamayı devre dışı bıraktı Windows Defender Windows 10
4
post-title
▷ Windows 10 ZIP dosyası oluşturun
5
post-title
▷ Samsung Galaxy M12 ve M02'yi PC'ye bağlayın

Tavsiye

wave
- Sponsored Ad -

Editörün Seçimi

wave
- Sponsored Ad -