AuditD est le composant d'espace utilisateur du système d'audit Linux. Auditd est abrégé pour le démon d'audit Linux. Dans Linux, Daemon est appelé service d'exécution d'arrière-plan et il y a un «D» joint à la fin du service d'application lorsqu'il s'exécute en arrière-plan. Le travail d'auditd est de collecter et d'écrire des fichiers journaux de l'audit sur le disque comme service d'arrière-plan
Pourquoi utiliser Auditd?
Ce service Linux fournit à l'utilisateur un aspect d'audit de sécurité dans Linux. Les journaux qui sont collectés et enregistrés par AuditD, sont des activités différentes effectuées dans l'environnement Linux par l'utilisateur et s'il existe un cas où un utilisateur souhaite savoir ce que les autres utilisateurs ont fait dans un environnement d'entreprise ou de l'utilisateur multiple, cet utilisateur peut Accédez à ce type d'informations sous une forme simplifiée et minimisée, qui sont appelées journaux. De plus, s'il y a eu une activité inhabituelle sur le système d'un utilisateur, disons que son système a été compromis, alors l'utilisateur peut suivre et voir comment son système a été compromis et cela peut également aider dans de nombreux cas pour répondre à l'incident.
Bases de Auditd
L'utilisateur peut rechercher dans les journaux enregistrés par auditd en utilisant ausearch et aureport services publics. Les règles d'audit sont dans le répertoire, / etc / audit / audit.règles qui peut être lu par auditctl au démarrage. De plus, ces règles peuvent également être modifiées en utilisant auditctl. Il existe un fichier de configuration auditd disponible à / etc / Audit / Auditd.confli.
Installation
Dans les distributions Linux basées sur Debian, la commande suivante peut être utilisée pour installer AuditD, sinon déjà installée:
Ubuntu @ Ubuntu: ~ $ sudo apt-get install Auditd Audispd-Plugins
Commande de base pour Auditd:
Pour commencer auditd:
$ Service Auditd Start
Pour arrêter Auditd:
$ service auditd stop
Pour redémarrer auditd:
$ service auditd redémarrer
Pour récupérer l'état de l'AUDITD:
$ Statut Auditd Service
Pour le redémarrage conditionnel Auditd:
$ Service Auditd Condrestart
Pour le service Auditd de rechargement:
$ Reload de service auditd
Pour les journaux d'audit rotatifs:
$ Service Auditd Rotation
Pour vérifier la sortie des configurations AuditD:
$ chkconfig - list auditd
Quelles informations peuvent être enregistrées dans les journaux?
Autres services publics liés à l'audit:
Certains autres services publics importants liés à l'audit sont donnés ci-dessous. Nous n'en discuterons que quelques-uns en détail, qui sont couramment utilisés.
Cet utilitaire est utilisé pour obtenir l'état du comportement des configurations d'audit d'audit, de modification ou de mise à jour. La syntaxe pour l'utilisation de l'auditctl est:
Auditctl [Options]
Voici les options ou le drapeau qui sont principalement utilisés:
-w
Pour ajouter une montre à un fichier qui signifie que l'audit gardera un œil sur ce fichier et ajoutera des activités utilisateur liées à ce fichier aux journaux.
-k
Pour saisir une touche ou un nom de filtre à la configuration spécifiée.
-p
Pour ajouter un filtre en fonction de l'autorisation des fichiers.
-S
Pour supprimer la capture des journaux pour une configuration.
-un
Pour obtenir tous les résultats pour l'entrée spécifiée de cette option.
Par exemple, pour ajouter une montre sur / etc
$ auditctl -w / etc / shadow -k shadow-file -p rwxa
Cet utilitaire est utilisé pour générer des rapports de résumé des journaux d'audit des journaux enregistrés. L'entrée du rapport peut également être des données de journaux bruts qui sont livrés à Aureport en utilisant STDIN. La syntaxe de base pour l'utilisation d'Aureport est:
Aureport [Options]
Certaines des options Aureport de base et les plus couramment utilisées sont celles:
-k
Pour générer un rapport basé sur les clés spécifiées dans les règles ou configurations d'audit.
-je
Pour afficher des informations textuelles plutôt que des informations numériques comme l'ID, comme l'affichage du nom d'utilisateur au lieu de l'utilisateur.
-au
Pour générer un rapport des tentatives d'authentification pour tous les utilisateurs.
-l
Pour générer un rapport affichant les informations de connexion des utilisateurs.
Cet utilitaire recherche un outil pour les journaux d'audit ou les événements. Les résultats de la recherche sont affichés en retour, en fonction de différentes requêtes de recherche. Comme Aureport, ces requêtes de recherche peuvent également être des données de journaux bruts qui sont transformés à AUSEARCH en utilisant STDIN. Par défaut, AUSEARCH interroge les journaux placés / var / log / audit / audit.enregistrer, qui peut être affiché directement ou accessible en tant que commande de frappe ci-dessous:
$ cat / var / log / audit / audit.enregistrer
La syntaxe simple pour l'utilisation d'Ausearch est:
AUSEARCH [OPTIONS]
De plus, certains drapeaux peuvent être utilisés avec la commande AUSEARCH, certains drapeaux couramment utilisés sont:
-p
Cet drapeau est utilisé pour saisir les ID de processus pour rechercher des requêtes pour les journaux, e.g., AUSEARCH -P 6171.
-m
Ce drapeau est utilisé pour rechercher des chaînes spécifiques dans les fichiers journaux, e.g., AUSEARCH -M USER_LOGIN.
-SV
Cette option est des valeurs de réussite si l'utilisateur interroge la valeur de réussite pour une partie spécifique des journaux. Ce drapeau est souvent utilisé avec un drapeau -m tel que AUSEARCH -M USER_LOGIN -SV NO.
-ua
Cette option est utilisée pour saisir un filtre de nom d'utilisateur pour la requête de recherche, e.g., root auesearch -ua.
-ts
Cette option est utilisée pour saisir un filtre à horodat pour la requête de recherche, e.g., AUSEARCH -ts hier.
AuditSPD:
Cet utilitaire est utilisé comme démon pour le multiplexage des événements.
AUTRACE:
Cet utilitaire est utilisé pour le traçage des binaires à l'aide de composants d'audit.
AULAST:
Cet utilitaire montre les dernières activités enregistrées dans les journaux.
aulastlog:
Cet utilitaire affiche les dernières informations de connexion de tous les utilisateurs ou d'un utilisateur donné.
auuscall:
Cet utilitaire permet le mappage des noms et numéros d'appels système.
auvert:
Cet utilitaire montre les informations d'audit spécifiquement pour les machines virtuelles.
Bien que l'audit Linux soit un sujet relativement avancé pour les utilisateurs de Linux non techniques, mais laisser les utilisateurs décider par eux-mêmes, c'est ce que Linux offre. Contrairement à d'autres systèmes d'exploitation, les systèmes d'exploitation Linux ont tendance à garder leurs utilisateurs en contrôle de leur propre environnement. Également un utilisateur novice ou non technique, il faut toujours apprendre pour sa propre croissance. J'espère que cet article vous a aidé à apprendre quelque chose de nouveau et d'utile.