So verwenden Sie CentOS-Systemüberwachungsprotokolle, um unbefugten Zugriff auf das System zu erkennen

So verwenden Sie das Audit-Protokoll des CentOS-Systems, um den unbefugten Zugriff auf das System zu überwachen

Mit der Entwicklung des Internets sind Netzwerksicherheitsprobleme immer wichtiger geworden und viele Systemadministratoren haben der Sicherheit des Systems immer mehr Aufmerksamkeit geschenkt . Als häufig verwendetes Open-Source-Betriebssystem kann die Audit-Funktion von CentOS Systemadministratoren dabei helfen, die Systemsicherheit zu überwachen, insbesondere im Hinblick auf unbefugten Zugriff. In diesem Artikel wird erläutert, wie Sie mithilfe des Prüfprotokolls des CentOS-Systems den unbefugten Zugriff auf das System überwachen und Codebeispiele bereitstellen.

1. Aktivieren Sie die Audit-Log-Funktion.
Um die Audit-Log-Funktion des CentOS-Systems zu verwenden, müssen Sie zunächst sicherstellen, dass die Funktion aktiviert ist. Im CentOS-System können Sie die Audit-Log-Funktion aktivieren, indem Sie die Datei /etc/audit/auditd.conf ändern. Sie können den folgenden Befehl verwenden, um die Datei zu öffnen: /etc/audit/auditd.conf文件来开启审计日志功能。可以使用以下命令打开该文件：

sudo vi /etc/audit/auditd.conf

在该文件中，找到以下两行代码：

#local_events = yes
#write_logs = yes

将这两行代码前的注释符号#去掉，修改为以下形式：

local_events = yes
write_logs = yes

保存并退出文件。然后通过以下命令重启审计服务：

sudo service auditd restart

二、配置审计规则
开启审计日志功能后，接下来需要配置审计规则，以便监测未经授权的访问。可以通过修改/etc/audit/audit.rules文件来配置审计规则。可以使用以下命令打开该文件：

sudo vi /etc/audit/audit.rules

在该文件中，可以添加以下内容作为审计规则：

-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve

这两行规则将监测所有的执行操作。如果只想监测特定的执行操作，可以使用以下命令：

-a exit,always -F arch=b64 -S specific_execve_syscall

其中specific_execve_syscall为特定的执行操作的系统调用名称。可以根据具体需求修改该名称。添加完规则后，保存并退出文件。

三、查看审计日志
当系统收到未经授权的访问时，相关的信息将会被记录在审计日志中。可以使用以下命令查看审计日志：

sudo ausearch -ui 1000

其中1000为用户ID，可以根据具体情况修改。通过该命令可以查看特定用户的审计日志。也可以使用以下命令查看所有的审计日志：

sudo ausearch

以上命令将显示所有的审计日志。

四、增强审计日志功能
为了更好地监测未经授权的访问，还可以进一步增强审计日志功能。可以通过修改/etc/audit/audit.rules

-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session

Suchen Sie in der Datei die folgenden zwei Codezeilen:

-w /etc/passwd -p wa -k identity_changes
-w /etc/shadow -p wa -k identity_changes
-w /etc/group -p wa -k identity_changes
-w /etc/gshadow -p wa -k identity_changes
-w /etc/sudoers -p wa -k identity_changes
-w /etc/securetty -p wa -k identity_changes
-w /var/log/messages -p wa -k logfiles

1. Entfernen Sie das Kommentarsymbol # vor diesen beiden Codezeilen und ändern Sie es in das folgende Formular:

-w /etc/passwd -p rwa -k sensitive_files
-w /etc/shadow -p rwa -k sensitive_files
-w /etc/group -p rwa -k sensitive_files
-w /etc/gshadow -p rwa -k sensitive_files
-w /etc/sudoers -p rwa -k sensitive_files
-w /etc/securetty -p rwa -k sensitive_files

Speichern und beenden Sie die Datei. Starten Sie dann den Überwachungsdienst mit dem folgenden Befehl neu:

rrreee
2. 2. Konfigurieren Sie Überwachungsregeln
Nachdem Sie die Überwachungsprotokollfunktion aktiviert haben, müssen Sie Überwachungsregeln konfigurieren, um unbefugten Zugriff zu überwachen. Überwachungsregeln können durch Ändern der Datei /etc/audit/audit.rules konfiguriert werden. Die Datei kann mit dem folgenden Befehl geöffnet werden:

rrreee

In der Datei kann der folgende Inhalt als Prüfregel hinzugefügt werden:
3. rrreee
Diese beiden Regelzeilen überwachen alle Ausführungsvorgänge. Wenn Sie nur bestimmte Ausführungsvorgänge überwachen möchten, können Sie den folgenden Befehl verwenden:

rrreee

wobei special_execve_syscall der Systemaufrufname des spezifischen Ausführungsvorgangs ist. Dieser Name kann je nach Bedarf geändert werden. Speichern und beenden Sie die Datei, nachdem Sie die Regeln hinzugefügt haben.

3. Sehen Sie sich das Audit-Protokoll an🎜Wenn das System unbefugten Zugriff erhält, werden die relevanten Informationen im Audit-Protokoll aufgezeichnet. Sie können den folgenden Befehl verwenden, um das Überwachungsprotokoll anzuzeigen: 🎜rrreee🎜wobei 1000 die Benutzer-ID ist, die je nach Situation geändert werden kann. Mit diesem Befehl können Sie das Audit-Protokoll eines bestimmten Benutzers anzeigen. Sie können auch den folgenden Befehl verwenden, um alle Audit-Protokolle anzuzeigen: 🎜rrreee🎜Der obige Befehl zeigt alle Audit-Protokolle an. 🎜🎜4. Verbesserung der Audit-Log-Funktion🎜Um unbefugten Zugriff besser zu überwachen, kann die Audit-Log-Funktion weiter verbessert werden. Sie können weitere Prüfregeln konfigurieren, indem Sie die Datei /etc/audit/audit.rules ändern. Im Folgenden sind einige häufig verwendete Prüfregeln aufgeführt: 🎜🎜🎜 An- und Abmeldeereignisse überwachen: 🎜🎜rrreee🎜🎜 Datei- und Verzeichnisänderungsereignisse überwachen: 🎜🎜rrreee🎜🎜 Leseereignisse für sensible Dateien überwachen: 🎜🎜rrreee🎜 4. Zusammenfassung 🎜This Der Artikel stellt vor, wie Sie das Audit-Protokoll des CentOS-Systems verwenden können, um unbefugten Zugriff auf das System zu überwachen, und stellt relevante Codebeispiele bereit. Durch die Aktivierung der Audit-Log-Funktion, die Konfiguration von Audit-Regeln und die Anzeige von Audit-Logs können Sie die Systemsicherheit besser überwachen und unbefugte Zugriffsereignisse verhindern. Gleichzeitig kann durch die Erweiterung der Audit-Log-Funktion die Sicherheit des Systems weiter verbessert werden. Systemadministratoren können auf der Grundlage spezifischer Anforderungen geeignete Prüfregeln für ihre eigenen Systeme auswählen und die Prüfprotokolle regelmäßig überprüfen, um unberechtigte Zugriffsereignisse rechtzeitig zu erkennen und zu behandeln und so die Systemsicherheit zu gewährleisten. 🎜

Das obige ist der detaillierte Inhalt vonSo verwenden Sie CentOS-Systemüberwachungsprotokolle, um unbefugten Zugriff auf das System zu erkennen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!