So konfigurieren Sie die Netzwerksicherheitsüberwachung unter Linux

So konfigurieren Sie die Netzwerksicherheitsprüfung unter Linux

Die Netzwerksicherheitsprüfung ist ein wichtiger Prozess, um die Sicherheit und Stabilität des Netzwerksystems zu gewährleisten. Die Netzwerksicherheitsprüfung auf Linux-Systemen kann Administratoren dabei helfen, Netzwerkaktivitäten zu überwachen, potenzielle Sicherheitsprobleme zu erkennen und rechtzeitig Maßnahmen zu ergreifen. In diesem Artikel wird die Konfiguration der Netzwerksicherheitsüberwachung unter Linux vorgestellt und Codebeispiele bereitgestellt, um den Lesern ein besseres Verständnis zu erleichtern.

1. Installieren Sie Auditd

Auditd ist das Standard-Sicherheitsaudit-Framework für Linux-Systeme. Zuerst müssen wir Auditd installieren.

Auf einem Ubuntu-System können Sie es mit dem folgenden Befehl installieren:

sudo apt-get install auditd

Auf einem CentOS-System können Sie es mit dem folgenden Befehl installieren:

sudo yum install audit

2. Konfigurieren Sie Auditd

Nachdem die Installation abgeschlossen ist, müssen wir sie ausführen einige grundlegende Vorgänge zur Auditd-Konfiguration. Die Hauptkonfigurationsdatei ist /etc/audit/auditd.conf. Durch Bearbeiten dieser Datei können Sie einige Konfigurationsoptionen anpassen. /etc/audit/auditd.conf。编辑该文件，可以调整一些配置选项。

以下是一个示例配置文件的内容：

# /etc/auditd.conf
# 注意这里的路径可能因不同系统而有所不同

# 本地日志文件存储的路径
log_file = /var/log/audit/audit.log

# 最大日志文件大小
max_log_file = 50

# 最大日志存储时间
max_log_file_action = keep_logs

# 日志保留的天数
num_days = 30

# 空闲时间（秒）
idletime = 600

# 发现故障后自动停止
space_left_action = email

# 发现故障后实时通知的邮箱地址
admin_space_left_action = root@localhost

# 设定审计系统时额外添加的项目
# 以下是一个示例配置，根据需要可自行调整
# -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at,openat2 -F exit=-EACCES -F auid>=1000 -F auid!=-1 -k access

注意，你需要根据系统和需求自行调整配置。在完成配置后，保存文件并重新启动 auditd 服务。

sudo systemctl restart auditd

三、常用Auditd命令

配置完成后，我们可以使用一些常用的 Auditd 命令来监控网络活动和审计日志。

1. audispd-plugins 插件

audispd-plugins 是一个 Auditd 的插件，可以将 Auditd 日志转发到其他工具，如 Syslog 或 Elasticsearch 等。

在Ubuntu系统上，可通过以下命令进行安装：

sudo apt-get install audispd-plugins

在CentOS系统上，可通过以下命令进行安装：

sudo yum install audispd-plugins

在配置文件 /etc/audisp/plugins.d/syslog.conf 中，你可以指定日志转发的目标。在以下示例中，我们将日志转发到 Syslog：

active = yes
direction = out
path = /sbin/audispd-in_syslog
type = builtin
args = LOG_INFO
format = string

2. ausearch

ausearch 是一个 Auditd 的命令行工具，可以查询 Audit 日志。以下是几个常用的命令示例：

# 查询所有事件
sudo ausearch -m all

# 查询指定时间段的日志
sudo ausearch --start "10 minutes ago" --end "now"

# 根据用户查询日志
sudo ausearch -ua username

# 根据文件路径查询日志
sudo ausearch -f /path/to/file

# 根据系统调用查询日志
sudo ausearch -sc open

3. aureport

aureport

Das Folgende ist der Inhalt einer Beispielkonfigurationsdatei:

# 生成所有的事件报告
sudo aureport

# 生成文件相关的事件报告
sudo aureport -f

# 生成用户相关的事件报告
sudo aureport -i

# 生成系统调用的事件报告
sudo aureport -c

Beachten Sie, dass Sie die Konfiguration selbst an Ihr System und Ihre Bedürfnisse anpassen müssen. Speichern Sie nach Abschluss der Konfiguration die Datei und starten Sie den auditd-Dienst neu.

sudo auditctl -a always,exit -F arch=b64 -S execve -k command
sudo auditctl -a always,exit -F arch=b64 -S execveat -k command
sudo auditctl -a always,exit -F arch=b32 -S execve -k command
sudo auditctl -a always,exit -F arch=b32 -S execveat -k command
sudo auditctl -a always,exit -F arch=b64 -S sendto -F auid>=500 -F auid!=4294967295 -k connect

3. Häufig verwendete Auditd-Befehle

Nachdem die Konfiguration abgeschlossen ist, können wir einige häufig verwendete Auditd-Befehle verwenden, um Netzwerkaktivitäten und Audit-Protokolle zu überwachen.

1. audispd-plugins-Plug-in

audispd-plugins ist ein Auditd-Plug-in, das Auditd-Protokolle an andere Tools wie Syslog weiterleiten kann oder Elasticsearch usw. .

Auf Ubuntu-Systemen können Sie es mit dem folgenden Befehl installieren:

rrreee

Auf CentOS-Systemen können Sie es mit dem folgenden Befehl installieren: 🎜rrreee🎜In der Konfigurationsdatei /etc/audisp/plugins.d/ syslog.conf können Sie das Ziel der Protokollweiterleitung angeben. Im folgenden Beispiel leiten wir die Protokolle an Syslog weiter: 🎜rrreee

2. aussearch

🎜aussearch ist ein Befehlszeilentool für Auditd können Sie das Audit-Protokoll abfragen. Im Folgenden sind einige häufig verwendete Befehlsbeispiele aufgeführt: 🎜rrreee

3. aureport

🎜aureport ist ein Auditd-Berichtstool, das verschiedene Arten generieren kann des Berichts. Im Folgenden finden Sie einige häufig verwendete Befehlsbeispiele: 🎜rrreee🎜 IV. Beispiele für die Schlüsselkonfiguration 🎜🎜Das Folgende ist eine Beispielkonfiguration für die Überwachung der Benutzeranmeldung und der Befehlsausführung: 🎜rrreee🎜Die obige Konfiguration zeichnet die von allen Benutzern ausgeführten Befehle auf gesendeter Netzwerkverkehr. 🎜🎜5. Zusammenfassung🎜🎜Die Konfiguration der Netzwerksicherheitsüberwachung auf einem Linux-System ist ein wichtiger Teil der Gewährleistung der Systemsicherheit. Durch die Installation und Konfiguration von Auditd können Sie Netzwerkaktivitäten überwachen und potenzielle Sicherheitsprobleme entdecken. In diesem Artikel werden die Installation von Auditd, die Grundkonfiguration, allgemeine Befehle und wichtige Konfigurationsbeispiele vorgestellt und Beispielcode bereitgestellt, um den Lesern ein besseres Verständnis zu erleichtern. 🎜🎜Ich hoffe, dieser Artikel kann Ihnen bei der Durchführung einer Netzwerksicherheitsüberprüfung auf einem Linux-System helfen. Wenn Sie weitere Fragen haben, können Sie uns gerne kontaktieren. 🎜

Das obige ist der detaillierte Inhalt vonSo konfigurieren Sie die Netzwerksicherheitsüberwachung unter Linux. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!