Включение и настройка Auditd в CentOS

centos Applications

Если вы используете CentOS в своем центре обработки данных, вы, вероятно, считаете ее безупречно безопасной платформой. По большей части, это предположение верно. Однако есть вещи, которые вы можете сделать, чтобы сделать платформу еще более безопасной. Одной из таких задач является включение системы auditd.

Table of Contents

Что такое система auditd?

Auditd является частью системы аудита Linux и отвечает за запись записей аудита на диск. С помощью auditd вы можете настраивать правила аудита, просматривать журналы и настраивать его в соответствии с конкретными требованиями. С помощью Auditd вы можете получить ценные сведения о производительности и активности вашего сервера. На вашем сервере CentOS должен быть установлен auditd из коробки. Если вдруг его нет, мы установим его.

Установка Auditd

Если по какой-то причине Auditd не установлен в системе, установка осуществляется командами ниже:

Далее нам нужно запустить и включить Auditd с помощью команд:

На данный момент Auditd запущен и пишет записи в /var/log/audit/audit.log. Вы можете выполнить команду:

Приведенная выше команда будет отслеживать все записи в журнале Auditd, и вы сможете просматривать их в реальном времени.

Настройка Auditd

Для того чтобы настроить Auditd, мы должны сначала перейти под пользователем root с помощью команды su. Как только вы это сделаете, выполните команду:

Вы можете просмотреть текущие политики и добавить свои.

Данный файл генерируется на основе политик расположенных в директории /etc/audit/rules.d/

При создании политик, рекомендуется создавать новые в /etc/audit/rules.d/, так ими проще управлять и отключать, если что-то пойдет не так.

Ниже приведены примеры настройки различных политик.

Отслеживание изменений файла /etc/hosts

Допустим, вы хотите настроить Auditd на наблюдение за определенным каталогом /etc/hosts.

Создайте новую политику

В файл добавьте следующее:

Где:

-w - местоположение для просмотра.
-p - разрешения (в соответствии со стандартными разрешениями UNIX).
-k - имя ключа (необязательная строка, помогающая определить, какое правило или набор правил породил определенную запись в журнале).

Сохраните и закройте этот файл.

Для применения политики и генерации нового файла /etc/audit/auditd.conf, потребуется перезапуск службы

После применения правила выполните команду tail и отредактируйте файл /etc/hosts. Вы должны увидеть запись, помеченную ключом, настроенным в записи правила.

Ведение журнала выполнения команд перезагрузки

Для ведения журнала перезагрузки, достаточно создать соответствующую политику

Самоаудит Auditd

Успешные и неуспешные попытки прочитать информацию из журналов аудита

Изменения конфигурации аудита, которые происходят во время работы функций сбора аудита

Мониторинг использования инструментов управления аудитом

Изменение параметров ядра

Загрузка и выгрузка модулей ядра

Использование KExec

Операции монтирования

Изменить своп

Stunnel

Конфигурация Cron и запланированные задания

Базы данных пользователей, групп, паролей

Изменения в файле Sudoers

Passwd

Инструменты для изменения идентификаторов групп

Конфигурация и информация для входа в систему

Изменения в имени хоста

Успешные IPv4-соединения

Успешные IPv6-соединения

Скрипты запуска системы

Конфигурация Pam

Конфигурация почты

Конфигурация SSH

Systemd

События SELinux, изменяющие обязательный контроль доступа (MAC) системы

Сбои доступа к критическим элементам

Изменение идентификатора процесса (переключение учетных записей) приложений

Состояние питания

Информация о начале сеанса

Инъекция

Эти правила следят за внедрением кода с помощью средства ptrace.
Это может указывать на то, что кто-то пытается сделать что-то плохое или просто отлаживает.

RPM (Redhat/CentOS)

PIP (Python installs)

Docker

Avatar for Gnostis
Gnostis
Добавить комментарий