So überwachen Sie Ereignisse auf Ihren Linux-Rechenzentrums-Servern mit auditd

Bild: Jack Wallen

Das Linux-Überwachungssystem ist eine hervorragende Möglichkeit für Systemadministratoren, eine Protokollregel für nahezu jede Aktion auf einem Rechenzentrumserver zu erstellen. Mit diesem System können Sie Ereignisse verfolgen, Ereignisse aufzeichnen und sogar Missbrauch oder nicht autorisierte Aktivitäten über die Protokolldateien erkennen. Mit dem Audit-Daemon (auditd) können Sie auswählen, welche Aktionen auf dem Server überwacht werden sollen (im Gegensatz zum Überwachen aller Aktionen), und die Standardprotokollierungstools (z. B. Syslog) werden nicht beeinträchtigt.

Rechenzentrum muss unbedingt gelesen werden

  • 8 Vorhersagen für Rechenzentren für 2020
  • 7 Netzwerkvorhersagen für 2020: Automatisierung, Edge-Computing, Wi-Fi 6, mehr
  • Best Practices für die Servervirtualisierung und Tipps, was nicht zu tun ist
  • Quantencomputer: Sieben Wahrheiten, die Sie kennen müssen

Die einzige Einschränkung bei auditd ist, dass es Ihrem System keine zusätzliche Sicherheit verleiht. Stattdessen können Sie alle auf einem Server auftretenden Verstöße nachverfolgen, um dann gegen den Missbrauch vorzugehen.

Mit diesem Tool können Administratoren eine beliebige Anzahl von Systemen und Diensten überwachen, indem sie Regeln über die Befehlszeile erstellen. Auditd wird auf Kernelebene ausgeführt, sodass Sie Zugriff auf die Überwachung aller gewünschten Dienste haben. Das auditd-System ist für die meisten Linux-Distributionen verfügbar, aber ich werde seine Verwendung unter Ubuntu Server 18.04 demonstrieren.

Was du brauchst

Sie benötigen lediglich einen Linux-Server (oder einen Desktop, wenn Sie dies bevorzugen) und ein Benutzerkonto mit Sudo-Berechtigungen. Lassen Sie uns sehen, wie auditd funktioniert.

Installation

Auditd ist höchstwahrscheinlich bereits auf Ihrem Computer installiert. Wenn dies nicht der Fall ist, können Sie es mit dem folgenden Befehl installieren:

 sudo apt-get install auditd -y 

Stellen Sie nach der Installation sicher, dass Sie das System mit den folgenden Befehlen starten und aktivieren:

 sudo systemctl auditd starten sudo systemctl auditd aktivieren 

Audit konfigurierend

Die Konfiguration von auditd wird in einer einzigen Datei behandelt (während Regeln in einer vollständig separaten Datei behandelt werden). Obwohl die Standardeinstellung für die meisten Anforderungen ausreichen sollte, können Sie das System konfigurieren, indem Sie den folgenden Befehl eingeben:

 sudo nano /etc/audit/audit.conf 

In dieser Datei möchten Sie möglicherweise die folgenden Einträge konfigurieren:

  • Der Speicherort der Protokolldatei wird in der Zeile log_file = /var/log/audit/audit.log konfiguriert .
  • Die Anzahl der auf dem Server aufzubewahrenden Protokolle wird im Eintrag num_logs = 5 konfiguriert.
  • Konfigurieren Sie die maximale Größe der Protokolldatei (in MB) in der Zeile max_log_file = 8 .

Wenn Sie Änderungen an dieser Konfiguration vornehmen, müssen Sie auditd mit dem folgenden Befehl neu starten:

 sudo systemctl starte auditd neu 

Regel erstellen

Überprüfen Sie zunächst, ob Sie mit einer sauberen Tafel beginnen. Geben Sie den folgenden Befehl ein:

 sudo auditctl -l 

Der obige Befehl sollte anzeigen, dass es keine Regeln gibt ( Abbildung A ).

Abbildung A: Wir haben einen sauberen Plan für auditd.

Erstellen wir eine Regel, die sowohl / etc / passwd als auch / etc / shadow auf Änderungen überwacht. Wir möchten Regeln erstellen, die einen bestimmten Pfad überwachen und auf Änderungen im Schreibberechtigungsattribut dieser Datei achten. Mit anderen Worten, wenn ein böswilliger Benutzer die Schreibberechtigungen für die Passwd- und Shadow-Dateien ändert, wird er protokolliert. Dazu geben wir den folgenden Befehl aus:

 sudo nano /etc/audit/rules.d/audit.rules 

Fügen Sie am Ende dieser Datei die folgenden zwei Zeilen hinzu:

 -w / etc / shadow -p wa -k shadow -w / etc / passwd -p wa -k passwd 

Die Aufteilung der obigen Zeilen sieht folgendermaßen aus:

  • -w ist der Weg zu beobachten.
  • -p ist die Berechtigung zum Überwachen.
  • -k ist der Schlüsselname für die Regel.

Die Berechtigungen ähneln denen von Standard-Linux, mit einem Zusatz:

  • r - lesen
  • w - schreiben
  • x - ausführen
  • a - Änderung des Attributs der Datei (entweder Besitz oder Berechtigungen)

In unserem Beispiel möchten wir die Schreibberechtigungen (w) der Dateien auf Änderungen des Attributs (a) überwachen, sodass unsere Berechtigung wa lautet .

Nachdem wir die beiden neuen Regeln hinzugefügt haben, speichern und schließen Sie die Datei und starten Sie auditd mit dem folgenden Befehl neu:

 sudo systemctl starte auditd neu 

Sie sollten nun in der Lage sein, die aufgelisteten neuen Regeln anzuzeigen ( Abbildung B ), indem Sie den folgenden Befehl eingeben:

 sudo auditctl -l 

Abbildung B: Unsere neuen Regeln sind vorhanden.

Anzeigen der auditd-Protokolldatei

Sie können jeden Eintrag in der auditd-Protokolldatei anzeigen, indem Sie den folgenden Befehl eingeben:

 weniger /var/log/audit/audit.log 

Sie werden schnell feststellen, dass die Datei voller Einträge ist. Es muss einen einfacheren Weg geben. Zum Glück gibt es. Da wir Schlüsselnamen in unsere Regeln aufgenommen haben, können wir ein integriertes auditd-Suchwerkzeug verwenden, um nur die Einträge anzuzeigen, die entweder die passwd- oder die Schatten-Keynamen enthalten. Geben Sie den folgenden Befehl ein, um einen Eintrag anzuzeigen, der den Schlüsselnamen passwd enthält:

 ausearch -k passwd 

Es sollte jeder Eintrag aufgelistet sein, der den angegebenen Schlüsselnamen enthält ( Abbildung C ).

Abbildung C: Der passwd-Schlüsselname zeigt bisher zwei Einträge.

Angenommen, Sie fügen einen neuen Benutzer hinzu (mit dem Befehl sudo adduser ). Da Sie für diesen Benutzer einen Kennworteintrag erstellen müssen (der in / etc / passwd geschrieben ist ), wird dieser in unserem Suchbefehl ausk -k passwd angezeigt ( Abbildung D ).

Abbildung D: Für einen neuen Benutzer wurde ein neues Kennwort erstellt und mit auditd protokolliert.

Das Ausearch- Tool ist unglaublich leistungsfähig. Lesen Sie die Manpage mit dem Befehl man ausearch durch, um mehr über die Verwendung zu erfahren .

Und das ist der Kern der Verwendung von auditd auf Linux-Servern in Ihrem Rechenzentrum. Sie haben jetzt die Möglichkeit, nahezu jedes System oder jeden Dienst, den Sie überwachen müssen, im Auge zu behalten.

Newsletter zu Trends im Rechenzentrum

DevOps, Virtualisierung, Hybrid Cloud, Speicher und betriebliche Effizienz sind nur einige der Themen im Rechenzentrum, die wir hervorheben werden. Wird montags und mittwochs geliefert

Heute anmelden

© Copyright 2020 | mobilegn.com