41111111111Rating 4.00 (5 Votes)

Аудит системы - один из важнейших аспектов системного администрирования, аудит безопасности является неплохим дополнением, например ты задавался вопросом, что и когда происходит с файлом shadow или passwd, когда он изменяется и т.п.? Такой мониторинг можно осуществить при помощи auditd, далее кратко расскажу о том, как установить audit в CentOS, настроить мониторинг изменений passwd и shadows.

Установка и настройка Auditd

yum install audit

По умолчанию размер файла лога auditd составляет 8 мегабайт, ротироваться будут 5 файлов, эти параметры можно изменить в файле конфигурации:

nano /etc/audit/auditd.conf

Параметры:

max_log_file = 20
num_logs = 6

После изменений файла конфигурации необходимо перезапустить сервис:

service auditd restart

Иногда может потребоваться выполнить команду systemctl daemon-reload, об этом меня предупредила система в момент рестарта сервиса.

Проверить статус:

systemctl restart auditd

Проверить набор правил (по умолчанию их нет):

auditctl -l

Создание правил Auditd

Правила аудита папок / файлов имеют следующий формат:

-w [путь] -p [разрешения] -k [ключ]

Где:

  • путь - полный путь до аудируемого файла / папки
  • разрешения - указываются в виде комбинаций read, write, xecute
  • ключ - используется для более удобной фильтрации логов в дальнейшем

 Правила необходимо добавлять в файл - /etc/audit/rules.d/audit.rules, в нашем случае это будут правила:

-w /etc/shadow -p wa -k shadow
-w /etc/passwd -p wa -k passwd

После добавления правил, сервис auditd необходимо перезапустить:

service auditd restart

Снова смотрим используемые правила: 

# auditctl -l
-w /etc/shadow -p wa -k shadow
-w /etc/passwd -p wa -k passwd

Временные правила можно запускать командой:

auditctl -w /etc/shadow -p wa -k shadow

Это может быть полезным в момент отладки / тестирования правил

Работа с логом аудита

Для примера я создал пользователя и изменил ему пароль, в логах появилась об этом информация с указанными ключами key="shadow" и key="passwd", по ключу можно грепать логи например так:

cat /var/log/audit/audit.log | grep key=\"passwd\"

Где можно увидеть, что пользователь с uid=0 успешно изменил пользователю testaudit пароль:

type=USER_CHAUTHTOK msg=audit(1529506361.681:173): pid=1346 uid=0 auid=0 ses=3 subj=unconfined_u:unconfined_r:passwd_t:s0-s0:c0.c1023 msg='op=PAM:chauthtok grantors=pam_pwquality,pam_unix acct="testaudit" exe="/usr/bin/passwd" hostname=host.local addr=? terminal=pts/1 res=success'

Логи можно читать используя специальную команду, которая выдает в читабельном виде содержимое лога:

ausearch -i

Так-же можно создавать отчеты, где можно посмотреть количество срабатываний по ключам: 

# aureport --key --summary

Key Summary Report
===========================
total  key
===========================
9  shadow
7  passwd 

Или несколько более детально: 

# aureport --key

Key Report
===============================================
# date time key success exe auid event
===============================================
...
4. 06/20/2018 10:51:08 shadow yes /usr/sbin/useradd 0 163
...
9. 06/20/2018 10:52:41 shadow yes /usr/bin/passwd 0 172
...

Можно посмотреть к примеру события входа в систему, например за последние сутки:

# aureport -l -i -ts yesterday -te today

Login Report
============================================
# date time auid host term exe success event
============================================
...
2. 06/20/2018 10:40:00 root xxx.xxx.xx.x /dev/pts/0 /usr/sbin/sshd yes 121
3. 06/20/2018 10:50:53 root xxx.xxx.xx.x /dev/pts/1 /usr/sbin/sshd yes 159

Немного о визуализации

 Скрипты которые понадобятся:

Так-же понадобится graphviz:

yum install graphviz

Разрешаем исполнение скриптов:

# chmod +x ./mkbar 
# chmod +x ./mkgraph

Теперь смотрим кто у нас изменял файлы:

aureport -f -i | awk '/^[0-9]/ { printf "%s %s\n", $8, $4 }' | sort | uniq | ./mkgraph

В итоге будет сгенерирован архив gr.ps.gz с PostScript диаграммой:

auditd grapth

Интересные примеры по построению графиков можно посмотреть на странице Audit Data Visualization

Доп ссылки

На этом все! Счастливого аудита ;)

Добавить комментарий


Защитный код
Обновить

Сейчас 160 гостей и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз