Các tùy chỉnh trên linux centos 7
Thứ năm, 16/07/2015 | 00:00 GMT+7 Show Hệ thống Kiểm tra Linux tạo ra một đường dẫn kiểm tra, một cách để theo dõi tất cả các loại thông tin trên hệ thống. Nó có thể ghi lại nhiều dữ liệu như các loại sự kiện, ngày và giờ, ID user , lệnh gọi hệ thống, quy trình, file được sử dụng, ngữ cảnh SELinux và mức độ nhạy cảm. Nó có thể theo dõi xem một file đã được truy cập, chỉnh sửa hoặc thực thi hay chưa. Nó thậm chí có thể theo dõi các thay đổi đối với các thuộc tính file . Nó có khả năng ghi lại việc sử dụng các lệnh gọi hệ thống, các lệnh do user thực thi, các lần đăng nhập không thành công và nhiều sự kiện khác. Theo mặc định, hệ thống kiểm tra chỉ ghi lại một số sự kiện trong log như user đăng nhập, user sử dụng sudo và các thông báo liên quan đến SELinux. Nó sử dụng các luật kiểm toán để theo dõi các sự kiện cụ thể và tạo các mục log liên quan. Có thể tạo ra các luật kiểm toán. Trong hướng dẫn này, ta sẽ thảo luận về các loại luật kiểm tra khác nhau và cách thêm hoặc xóa luật tùy chỉnh trên server của bạn. Yêu cầuTrước khi bắt đầu với hướng dẫn này, bạn nên có những điều sau:
Xem luật kiểm tra Bạn có thể xem bộ luật kiểm tra hiện tại bằng cách sử dụng lệnh
Nó sẽ không hiển thị luật nếu không có luật nào (đây là mặc định):
Khi bạn thêm các luật trong hướng dẫn này, bạn có thể sử dụng lệnh này để xác minh chúng đã được thêm vào. Trạng thái hiện tại của hệ thống đánh giá có thể được xem bằng cách sử dụng:
Đầu ra sẽ tương tự như:
Giá trị Thêm luật kiểm tra Bạn có thể thêm các luật kiểm tra tùy chỉnh bằng cách sử dụng công cụ dòng lệnh Nếu bạn đang sử dụng CentOS 6, thay vào đó, file luật kiểm tra sẽ được đặt tại Có ba loại luật kiểm toán:
Luật kiểm soátHãy để ta xem xét một số luật kiểm soát mà ta có thể thêm vào:
Trong kết quả , bạn có thể thấy giá trị backlog_limit hiện tại:
Nếu giá trị tồn đọng của bạn nhiều hơn backlog_limit hiện được đặt, bạn có thể cần tăng backlog_limit để ghi log kiểm tra hoạt động chính xác. Ví dụ: để tăng giá trị lên 1024, hãy chạy:
Đầu ra sẽ hiển thị trạng thái:
Các luật ta thêm qua /etc/audit/rules.d/audit.rules
Để thay đổi giá trị tồn đọng thành 8192, bạn có thể thay đổi -b 320 thành -b 8192 và khởi động lại daemon kiểm tra bằng cách sử dụng:
Nếu bạn không khởi động lại daemon, nó sẽ vẫn đặt giá trị mới từ cấu hình ở lần khởi động lại server tiếp theo. Luật hệ thống fileĐồng hồ hệ thống file có thể được đặt trên file và folder . Ta cũng có thể chỉ định loại quyền truy cập để theo dõi. Cú pháp cho luật hệ thống file là:
Ở đâu Ta hãy xem xét một số ví dụ.
Luật trên yêu cầu hệ thống kiểm tra theo dõi mọi quyền truy cập ghi hoặc thay đổi thuộc tính đối với file Nếu bạn muốn đặt luật này vĩnh viễn, thì hãy thêm luật đó vào file /etc/audit/rules.d/audit.rules
Để đảm bảo luật đã được thêm thành công, bạn có thể chạy:
Nếu mọi việc suôn sẻ, kết quả sẽ hiển thị:
Ta cũng có thể thêm đồng hồ vào folder .
Luật trên sẽ thêm đồng hồ vào folder Để thêm một luật để theo dõi việc thực thi lệnh
Lưu ý: Bạn không thể chèn đồng hồ vào folder cấp cao nhất. Điều này bị cấm bởi kernel . Ký tự đại diện cũng không được hỗ trợ và sẽ tạo ra cảnh báo. Để tìm kiếm log kiểm tra các sự kiện cụ thể, bạn có thể sử dụng lệnh
Luật cuộc gọi hệ thốngBằng cách kiểm tra các cuộc gọi hệ thống, bạn có thể theo dõi các hoạt động trên server vượt xa mức ứng dụng. Cú pháp cho các luật gọi hệ thống là:
Ở đâu:
Bây giờ ta hãy xem xét một số luật gọi hệ thống ví dụ. Để xác định luật kiểm tra tạo mục log được gắn nhãn
Để xác định luật ghi log những file mà một user cụ thể (với UID 1001) đã truy cập và gắn nhãn các mục log bằng
Nếu bạn muốn đặt luật này vĩnh viễn, thì hãy thêm luật đó vào file /etc/audit/rules.d/audit.rules
Bạn cũng có thể xác định luật hệ thống file bằng cách sử dụng cú pháp luật gọi hệ thống. Ví dụ, luật sau:
thực hiện công việc tương tự như luật hệ thống file mà ta đã thấy trong phần trước:
Để xem một cách đệ quy một folder bằng cách sử dụng luật gọi hệ thống, bạn có thể sử dụng tùy chọn Lưu
ý: Xin lưu ý tất cả các quy trình bắt đầu sớm hơn chính daemon kiểm tra sẽ có Xóa luật kiểm tra
Để loại bỏ tất cả các luật kiểm tra hiện tại, bạn có thể sử dụng lệnh
Xem bộ luật bằng cách sử dụng:
Đầu ra phải bao gồm:
Để loại bỏ luật này, ta
có thể sử dụng lệnh sau, chỉ cần thay thế
Bây giờ, hãy xem bộ luật bằng cách sử dụng:
Luật không nên có trong danh sách bây giờ. Lưu ý: Nếu có bất kỳ luật kiểm tra vĩnh viễn nào được thêm vào bên trong file Khóa luật kiểm tra Có thể tắt hoặc bật hệ thống kiểm tra và khóa các luật kiểm tra bằng cách sử dụng
Khi Kết luậnThông tin được cung cấp bởi Hệ thống Kiểm toán Linux rất hữu ích cho việc phát hiện xâm nhập. Đến đây bạn có thể thêm các luật kiểm tra tùy chỉnh để bạn có thể ghi lại các sự kiện cụ thể. Lưu ý bạn luôn có thể tham khảo trang
người đàn ông Tags: Các tin liên quan Cách viết quy tắc kiểm tra hệ thống tùy chỉnh trên
CentOS 7 |