Tutoriel Auditd Linux

Ines Dubois
Tutoriel Auditd Linux

Qu'est-ce que Auditd?

AuditD est le composant d'espace utilisateur du système d'audit Linux. Auditd est abrégé pour le démon d'audit Linux. Dans Linux, Daemon est appelé service d'exécution d'arrière-plan et il y a un «D» joint à la fin du service d'application lorsqu'il s'exécute en arrière-plan. Le travail d'auditd est de collecter et d'écrire des fichiers journaux de l'audit sur le disque comme service d'arrière-plan

Pourquoi utiliser Auditd?

Ce service Linux fournit à l'utilisateur un aspect d'audit de sécurité dans Linux. Les journaux qui sont collectés et enregistrés par AuditD, sont des activités différentes effectuées dans l'environnement Linux par l'utilisateur et s'il existe un cas où un utilisateur souhaite savoir ce que les autres utilisateurs ont fait dans un environnement d'entreprise ou de l'utilisateur multiple, cet utilisateur peut Accédez à ce type d'informations sous une forme simplifiée et minimisée, qui sont appelées journaux. De plus, s'il y a eu une activité inhabituelle sur le système d'un utilisateur, disons que son système a été compromis, alors l'utilisateur peut suivre et voir comment son système a été compromis et cela peut également aider dans de nombreux cas pour répondre à l'incident.

Bases de Auditd

L'utilisateur peut rechercher dans les journaux enregistrés par auditd en utilisant ausearch et aureport services publics. Les règles d'audit sont dans le répertoire, / etc / audit / audit.règles qui peut être lu par auditctl au démarrage. De plus, ces règles peuvent également être modifiées en utilisant auditctl. Il existe un fichier de configuration auditd disponible à / etc / Audit / Auditd.confli.

Installation

Dans les distributions Linux basées sur Debian, la commande suivante peut être utilisée pour installer AuditD, sinon déjà installée:

Ubuntu @ Ubuntu: ~ $ sudo apt-get install Auditd Audispd-Plugins

Commande de base pour Auditd:

Pour commencer auditd:

$ Service Auditd Start

Pour arrêter Auditd:

$ service auditd stop

Pour redémarrer auditd:

$ service auditd redémarrer

Pour récupérer l'état de l'AUDITD:

$ Statut Auditd Service

Pour le redémarrage conditionnel Auditd:

$ Service Auditd Condrestart

Pour le service Auditd de rechargement:

$ Reload de service auditd

Pour les journaux d'audit rotatifs:

$ Service Auditd Rotation

Pour vérifier la sortie des configurations AuditD:

$ chkconfig - list auditd

Quelles informations peuvent être enregistrées dans les journaux?

  • Horodatage et informations sur l'événement telles que le type et le résultat d'un événement.
  • Événement déclenché avec l'utilisateur qui l'a déclenché.
  • Modifications des fichiers de configuration d'audit.
  • Accédez aux tentatives pour les fichiers journaux d'audit.
  • Tous les événements d'authentification avec les utilisateurs authentifiés tels que SSH, etc.
  • Modifications des fichiers sensibles ou des bases de données telles que les mots de passe dans / etc / passwd.
  • Informations entrantes et sortantes de et vers le système.

Autres services publics liés à l'audit:

Certains autres services publics importants liés à l'audit sont donnés ci-dessous. Nous n'en discuterons que quelques-uns en détail, qui sont couramment utilisés.

Auditctl:

Cet utilitaire est utilisé pour obtenir l'état du comportement des configurations d'audit d'audit, de modification ou de mise à jour. La syntaxe pour l'utilisation de l'auditctl est:

Auditctl [Options]

Voici les options ou le drapeau qui sont principalement utilisés:

-w

Pour ajouter une montre à un fichier qui signifie que l'audit gardera un œil sur ce fichier et ajoutera des activités utilisateur liées à ce fichier aux journaux.

-k

Pour saisir une touche ou un nom de filtre à la configuration spécifiée.

-p

Pour ajouter un filtre en fonction de l'autorisation des fichiers.

-S

Pour supprimer la capture des journaux pour une configuration.

-un

Pour obtenir tous les résultats pour l'entrée spécifiée de cette option.

Par exemple, pour ajouter une montre sur / etc

$ auditctl -w / etc / shadow -k shadow-file -p rwxa

Aureport:

Cet utilitaire est utilisé pour générer des rapports de résumé des journaux d'audit des journaux enregistrés. L'entrée du rapport peut également être des données de journaux bruts qui sont livrés à Aureport en utilisant STDIN. La syntaxe de base pour l'utilisation d'Aureport est:

Aureport [Options]

Certaines des options Aureport de base et les plus couramment utilisées sont celles:

-k

Pour générer un rapport basé sur les clés spécifiées dans les règles ou configurations d'audit.

-je

Pour afficher des informations textuelles plutôt que des informations numériques comme l'ID, comme l'affichage du nom d'utilisateur au lieu de l'utilisateur.

-au

Pour générer un rapport des tentatives d'authentification pour tous les utilisateurs.

-l

Pour générer un rapport affichant les informations de connexion des utilisateurs.

AUSEARCH:

Cet utilitaire recherche un outil pour les journaux d'audit ou les événements. Les résultats de la recherche sont affichés en retour, en fonction de différentes requêtes de recherche. Comme Aureport, ces requêtes de recherche peuvent également être des données de journaux bruts qui sont transformés à AUSEARCH en utilisant STDIN. Par défaut, AUSEARCH interroge les journaux placés / var / log / audit / audit.enregistrer, qui peut être affiché directement ou accessible en tant que commande de frappe ci-dessous:

$ cat / var / log / audit / audit.enregistrer

La syntaxe simple pour l'utilisation d'Ausearch est:

AUSEARCH [OPTIONS]

De plus, certains drapeaux peuvent être utilisés avec la commande AUSEARCH, certains drapeaux couramment utilisés sont:

-p

Cet drapeau est utilisé pour saisir les ID de processus pour rechercher des requêtes pour les journaux, e.g., AUSEARCH -P 6171.

-m

Ce drapeau est utilisé pour rechercher des chaînes spécifiques dans les fichiers journaux, e.g., AUSEARCH -M USER_LOGIN.

-SV

Cette option est des valeurs de réussite si l'utilisateur interroge la valeur de réussite pour une partie spécifique des journaux. Ce drapeau est souvent utilisé avec un drapeau -m tel que AUSEARCH -M USER_LOGIN -SV NO.

-ua

Cette option est utilisée pour saisir un filtre de nom d'utilisateur pour la requête de recherche, e.g., root auesearch -ua.

-ts

Cette option est utilisée pour saisir un filtre à horodat pour la requête de recherche, e.g., AUSEARCH -ts hier.

AuditSPD:

Cet utilitaire est utilisé comme démon pour le multiplexage des événements.

AUTRACE:

Cet utilitaire est utilisé pour le traçage des binaires à l'aide de composants d'audit.

AULAST:

Cet utilitaire montre les dernières activités enregistrées dans les journaux.

aulastlog:

Cet utilitaire affiche les dernières informations de connexion de tous les utilisateurs ou d'un utilisateur donné.

auuscall:

Cet utilitaire permet le mappage des noms et numéros d'appels système.

auvert:

Cet utilitaire montre les informations d'audit spécifiquement pour les machines virtuelles.

Final

Bien que l'audit Linux soit un sujet relativement avancé pour les utilisateurs de Linux non techniques, mais laisser les utilisateurs décider par eux-mêmes, c'est ce que Linux offre. Contrairement à d'autres systèmes d'exploitation, les systèmes d'exploitation Linux ont tendance à garder leurs utilisateurs en contrôle de leur propre environnement. Également un utilisateur novice ou non technique, il faut toujours apprendre pour sa propre croissance. J'espère que cet article vous a aidé à apprendre quelque chose de nouveau et d'utile.

c Sharp
Comment utiliser un long mot-clé en C #
Le long mot-clé en C # peut définir une variable qui peut contenir une valeur entière signée entre -...
Ethan Guillot
c Sharp
Comment utiliser l'héritage en C #
L'héritage permet à une classe de hériter des propriétés et des méthodes d'une autre classe. Il perm...
Mohamed Benoit
C programmation C
Qu'est-ce que l'adresse mémoire dans la programmation C et comment la trouver?
L'adresse mémoire dans la programmation C fait référence à l'emplacement où les données sont stockée...
Lena Dupuy
Docker
Quelle est la différence entre Docker et Podman?
Jules Colin
c Sharp
Qu'est-ce que le système.Espace de noms IO en C #
Julien Dumas
R
Comment créer un cadre de données vide R
Lena Dupuy
html
Comment utiliser la propriété CSS Flex-Grow?
Julien Dumas
Javascrip
Comment utiliser la propriété Mouseevent ScreenX en JavaScript
Mélissa Vincent
Powershell
Comment utiliser les opérateurs de comparaison dans PowerShell?
Ethan Guillot
Base de données Oracle
Est une base de données Oracle similaire à la base de données MySQL? | Expliqué
Célia Girard
Powershell
Qu'est-ce que le commandement de renom?
Ines Dubois
Docker
En quoi Docker diffère-t-il de Docker Desktop?
Lena Dupuy
Sqlite
Puis-je utiliser Sqlite en ligne?
Gabriel Bernard