Функционал auditd для отслеживания изменений файлов системной конфигурации

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Функционал auditd для отслеживания изменений файлов системной конфигурации

Цянь Л.В.

Аннотация

В работе рассмотрены особенности концепции и архитектуры auditd в операционной системе Linux, отмечена значимость взаимодействия auditd с ядром системы, представлены примеры использования инструмента для отслеживания изменений важных файлов систем6ной конфигурации и формирование отчетов на основе полученных данных.

Ключевые слова: системная конфигурация, логирование, безопасность систем, ОС Линукс.

Tsyan L.V.

AUDITD FUNCTIONALITY FOR MONITORING CHANGES TO SYSTEM CONFIGURATION FILES

Abstract

Audit daemon (auditd) является ключевым компонентом системы аудита в операционной системе Linux. Auditd используется для обеспечения безопасности и отслеживания потенциально опасных действий в компьютерной сети, таких как несанкционированный доступ, изменение системных файлов, попытки взлома и другие угрозы. Демон помогает обнаруживать и предотвращать атаки, а также проводить анализ безопасности системы.

Архитектура auditd представляет собой следующие ключевые компоненты:

Audit daemon (auditd) - демон, который непрерывно работает в фоновом режиме и принимает сообщения о событиях от ядра. Он сохраняет записи аудита в лог-файлах для последующего анализа.

Audit dispatcher (audispd) - плагин для auditd, который позволяет пересылать сообщения аудита другим приложениям в реальном времени. Это включает в себя системы централизованного сбора логов, такие как Syslog или SIEM.

Файлы конфигурации auditd /etc/audit/auditd.conf и /etc/audit/rules.d/ - файлы, в которых хранятся настройки демона и правила аудита.

Утилиты командной строки (auditctl, ausearch, aureport) - инструменты для управления аудитом, включая добавление/удаление правил и поиск/анализ событий аудита.

Ядро Linux предоставляет ряд системных вызовов, которые позволяют auditd регистрировать различные события, такие как выполнение программ, изменения в файловой системе и другие важные операции. Системные вызовы, проходя через слой аудита в ядре, генерируют события аудита, если эти вызовы соответствуют установленным правилам. События аудита не могут быть изменены или уничтожены пользователями после их создания. Даже если пользователь с повышенными привилегиями попытается стереть или изменить журнал аудита, события всё равно сохранятся до перезагрузки системы.

Во многих современных дистрибутивах Linux auditd предустановлен. Проверить статус auditd можно командой # auditctl -s

Файлы системной конфигурации в операционной системе Linux представляют собой набор текстовых файлов, которые содержат настройки, определяющие поведение системы и приложений.

Для добавления правил вручную используется командная утилита auditctl. Она служит для взаимодействия с подсистемой аудита ядра Linux и позволяет добавлять, удалять или обновлять правила аудита.

Примеры команд для отслеживания доступа пользователей к системе (рисунок 1).

Рисунок 1. Правила аудита системных файлов учетных записей.

где: -w указывает на файл для отслеживания.

/etc/passwd, /etc/shadow, /etc/group - файлы, отвечающие за пользователей и группы.

-p wa обозначает запись и доступ.

-k auth_changes устанавливает метку для идентификации события.

auditd отслеживание файл системный

После добавления правил полезно выполнить их проверку командой auditctl -l для отображения текущего списка правил.

Для проверки работы правил изменим пароль пользователя с помощью команды passwd. Чтобы вывести только записи, связанные с добавленными правилами, воспользуемся командой ausearch -k auth_changes (рисунок 2).

Рисунок 2. Логи auth_changes.

Отслеживание авторизаций пользователей (рисунок 3):

Рисунок 3. Правило системного вызова execve.

где:

-a always,exit добавляет правило, которое будет отслеживать системный вызов при завершении.

-F arch=b64 указывает фильтр для 64-битных исполняемых файлов.

-S execve отслеживает системный вызов execve, который связан с запуском исполняемых файлов.

Отслеживание использования пользователями команды su (рисунок 4):

Рисунок 4. Правило аудита команды su.

Таким образом, auditd зафиксирует любое использование команды su, дающей повышенные привилегии (рисунок 5).

Рисунок 5. Тестирование работы правила.

Утилиты ausearch, aureport, aulast предоставляют удобные инструменты для просмотра журналов аудита.

Например, с использованием команды aureport -au можно просмотреть данные о всех попытках доступа к системе. Утилита дает возможность формирования отчетов только по событиям, произошедшим в определенный промежуток времени. Для просмотра детальной информации о событии используется утилита ausearch. Чтобы представить вывод в удобочитаемом формате, можно использовать опцию -i.

Autrace предоставляет возможность отслеживать системные вызовы, события и действия программ в реальном времени, выводя подробную информацию о взаимодействии с системой. Утилита aulast выводит список последних вошедших в систему пользователей. Aulast выполняет поиск в журналах и отображает список всех пользователей, вошедших в систему и вышедших из нее, в зависимости от диапазона времени в журналах аудита. Утилита aulastlog выводит последний вход всех пользователей системы.

Таким образом, можно сказать, что auditd является мощным инструментом для обеспечения информационной безопасности и контроля происходящих в системе событий. Отслеживание изменений файлов системной конфигурации, использование данных аудита для анализа и устранения проблем с безопасностью позволяют существенно улучшить защиту информационной системы.

Список литературы

1. Альт Сервер 10.1 Документация Руководство пользователя. Редакция сентябрь, 2023. - URL: https://docs.altlinux.org/ru-RU/alt-server/10.1/html/alt- server/audit.html (дата обращения: 06.01.2024);

2. Уймин, А. Г. Практикум. Демонстрационный экзамен базового уровня. Сетевое и системное администрирование / А. Г. Уймин. -- Санкт-Петербург: Лань, 2024. -- 116 с. -- ISBN 978-5-507-48647-2. -- Текст: электронный // Лань: электронно-библиотечная система. -- URL: https://e.lanbook.com/book/362903 (дата обращения: 23.01.2024);

3. Как узнать, какой процесс изменяет файл // zaLinux.ru URL: https://zalinux.ru/?p=6000 (дата обращения: 06.01.2024);

4. Основы аудита. Настраиваем журналирование важных событий в Linux // xakep.ru. - URL: https://xakep.ru/2021/09/16/linux-audit/ (дата обращения: 06.01.2024);

5. Пингвин под колпаком: Аудит системных событий в Linux // xakep.ru. - URL: https://xakep.ru/2011/03/30/54897/ (дата обращения: 06.01.2024).

Размещено на Allbest.ru