Sécurité

Tutoriel Linux audité

Tutoriel Linux audité

Qu'est-ce qu'Auditd?

Auditd est le composant de l'espace utilisateur du système d'audit Linux. Auditd est l'abréviation de Linux Audit Daemon. Sous Linux, le démon est appelé service d'exécution en arrière-plan et il y a un "d" attaché à la fin du service d'application lorsqu'il s'exécute en arrière-plan. Le travail d'auditd consiste à collecter et à écrire les fichiers journaux d'audit sur le disque en tant que service d'arrière-plan

Pourquoi utiliser auditd?

Ce service Linux fournit à l'utilisateur un aspect d'audit de sécurité sous Linux. Les journaux qui sont collectés et enregistrés par auditd sont des activités différentes effectuées dans l'environnement Linux par l'utilisateur et s'il existe un cas où un utilisateur souhaite demander ce que d'autres utilisateurs ont fait dans un environnement d'entreprise ou multi-utilisateurs, cet utilisateur peut accéder à ce type d'informations sous une forme simplifiée et minimisée, appelées journaux. De plus, s'il y a eu une activité inhabituelle sur le système d'un utilisateur, disons que son système a été compromis, l'utilisateur peut alors retracer et voir comment son système a été compromis, ce qui peut également aider dans de nombreux cas à répondre aux incidents.

Les bases de l'auditd

L'utilisateur peut rechercher dans les journaux enregistrés en audité utilisant recherche et au rapport utilitaires. Les règles d'audit sont dans l'annuaire, /etc/audit/audit.des règles qui peut être lu par auditctl au démarrage. En outre, ces règles peuvent également être modifiées en utilisant auditctl. Un fichier de configuration auditd est disponible sur /etc/audit/auditd.conf.

Installation

Dans les distributions Linux basées sur Debian, la commande suivante peut être utilisée pour installer auditd, si elle n'est pas déjà installée :

[email protected]:~$ sudo apt-get install auditd audispd-plugins

Commande de base pour auditd :

Pour démarrer auditd :

$ service auditd start

Pour arrêter auditd :

$ service audité arrêt

Pour redémarrer auditd :

$ service auditd redémarrage

Pour récupérer l'état auditd :

État du service $ audité

Pour le redémarrage conditionnel auditd :

$ service auditd condrestart

Pour recharger le service auditd :

$ service auditd rechargement

Pour la rotation des journaux auditd :

$ service audité rotation

Pour vérifier la sortie des configurations auditd :

$ chkconfig --list auditd

Quelles informations peuvent être enregistrées dans les journaux?

Autres utilitaires liés à l'audit :

Certains autres utilitaires importants liés à l'audit sont donnés ci-dessous. Nous n'en discuterons que quelques-uns en détail, qui sont couramment utilisés.

auditctl :

Cet utilitaire est utilisé pour obtenir l'état du comportement de l'audit, définir, modifier ou mettre à jour les configurations d'audit. La syntaxe pour l'utilisation d'auditctl est :

auditctl [options]

Voici les options ou drapeaux qui sont le plus souvent utilisés :

-w

Pour ajouter une surveillance à un fichier, ce qui signifie que l'audit gardera un œil sur ce fichier et ajoutera les activités utilisateur liées à ce fichier aux journaux.

-k

Pour saisir une clé de filtre ou un nom pour la configuration spécifiée.

-p

Pour ajouter un filtre basé sur l'autorisation des fichiers.

-S

Pour supprimer la capture de journal pour une configuration.

-une

Pour obtenir tous les résultats pour l'entrée spécifiée de cette option.

Par exemple, pour ajouter une veille sur le fichier /etc/shadow avec le mot-clé filtré 'shadow-key' et avec les permissions comme 'rwxa' :

$ auditctl -w /etc/shadow -k shadow-file -p rwxa

au rapport :

Cet utilitaire est utilisé pour générer des rapports de synthèse des journaux d'audit à partir des journaux enregistrés. L'entrée du rapport peut également être des données de journaux brutes qui sont fournies à aureport à l'aide de stdin. La syntaxe de base pour l'utilisation d'aureport est :

aureport [options]

Certaines des options aureport de base et les plus couramment utilisées sont les suivantes :

-k

Pour générer un rapport basé sur les clés spécifiées dans les règles d'audit ou les configurations.

-je

Pour afficher des informations textuelles plutôt que des informations numériques comme l'identifiant, comme l'affichage du nom d'utilisateur au lieu de l'identifiant utilisateur.

-au

Pour générer un rapport des tentatives d'authentification pour tous les utilisateurs.

-je

Pour générer un rapport affichant les informations de connexion des utilisateurs.

aurecherche :

Cet utilitaire recherche un outil pour les journaux d'audit ou les événements. Les résultats de la recherche sont affichés en retour, en fonction de différentes requêtes de recherche. Comme aureport, ces requêtes de recherche peuvent également être des données de journaux brutes qui sont fournies à ausearch à l'aide de stdin. Par défaut, ausearch interroge les logs placés à /var/log/audit/audit.Journal, qui peut être directement affiché ou accessible en tapant la commande comme ci-dessous :

$ cat /var/log/audit/audit.Journal

La syntaxe simple pour utiliser ausearch est :

ausearch [options]

En outre, certains indicateurs peuvent être utilisés avec la commande ausearch, certains indicateurs couramment utilisés sont :

-p

Cet indicateur est utilisé pour saisir les ID de processus pour rechercher des requêtes de journaux, e.g., ausearch -p 6171.

-m

Ce drapeau est utilisé pour rechercher des chaînes spécifiques dans les fichiers journaux, e.g., ausearch -m USER_LOGIN.

-sv

Cette option correspond aux valeurs de réussite si l'utilisateur interroge la valeur de réussite pour une partie spécifique des journaux. Cet indicateur est souvent utilisé avec l'indicateur -m tel que ausearch -m USER_LOGIN -sv non.

-u

Cette option est utilisée pour saisir un filtre de nom d'utilisateur pour la requête de recherche, e.g., ausearch -ua racine.

-ts

Cette option est utilisée pour saisir un filtre d'horodatage pour la requête de recherche, e.g., ausearch -ts hier.

auditspd :

Cet utilitaire est utilisé comme un démon pour le multiplexage d'événements.

autrace :

Cet utilitaire est utilisé pour tracer les binaires à l'aide de composants d'audit.

aulast :

Cet utilitaire affiche les dernières activités enregistrées dans les journaux.

aulastlog:

Cet utilitaire affiche les dernières informations de connexion de tous les utilisateurs ou d'un utilisateur donné.

ausyscall:

Cet utilitaire permet le mappage des noms et numéros d'appel système.

auvirt:

Cet utilitaire affiche les informations d'audit spécifiquement pour les machines virtuelles.

Final

Bien que l'audit Linux soit un sujet relativement avancé pour les utilisateurs Linux non techniques, mais laissant les utilisateurs décider par eux-mêmes, c'est ce que propose Linux. Contrairement aux autres systèmes d'exploitation, les systèmes d'exploitation Linux ont tendance à garder leurs utilisateurs maîtres de leur propre environnement. Étant également un utilisateur novice ou non technique, il faut toujours apprendre pour sa propre croissance. J'espère que cet article vous a aidé à apprendre quelque chose de nouveau et d'utile.

Jeux Meilleures distributions Linux pour les jeux en 2021
Meilleures distributions Linux pour les jeux en 2021
Le système d'exploitation Linux a parcouru un long chemin depuis son apparence originale, simple et basée sur le serveur. Ce système d'exploitation s'...
Jeux Comment capturer et diffuser votre session de jeu sur Linux
Comment capturer et diffuser votre session de jeu sur Linux
Dans le passé, jouer à des jeux n'était considéré qu'un passe-temps, mais avec le temps, l'industrie du jeu a connu une croissance énorme en termes de...
Jeux Meilleurs jeux à jouer avec le suivi des mains
Meilleurs jeux à jouer avec le suivi des mains
Oculus Quest a récemment introduit l'idée géniale du suivi manuel sans contrôleurs. Avec un nombre toujours croissant de jeux et d'activités qui exécu...