Heim >Betrieb und Instandhaltung >Betrieb und Wartung von Linux >So richten Sie die Systemsicherheitsüberwachung unter Linux ein
So richten Sie ein Systemsicherheitsaudit unter Linux ein
Im heutigen digitalen Zeitalter ist die Netzwerksicherheit zu einer großen Herausforderung für uns geworden. Um unsere Systeme und Daten vor unbefugtem Zugriff und böswilligen Angriffen zu schützen, müssen wir eine Reihe von Sicherheitsmaßnahmen implementieren. Eine davon besteht darin, die Systemsicherheitsüberwachung zu aktivieren. In diesem Artikel erfahren Sie anhand relevanter Codebeispiele, wie Sie die Systemsicherheitsüberwachung unter Linux einrichten.
Zunächst müssen wir verstehen, was ein Systemsicherheitsaudit ist. Die Systemsicherheitsüberprüfung ist eine Methode zur Überwachung und Aufzeichnung der Systemaktivität, um potenzielle Sicherheitsrisiken und -bedrohungen zu erkennen und zu analysieren. Es kann Anmelde- und Abmeldeereignisse, Datei- und Verzeichniszugriffe, Prozessaktivitäten und andere Systemaktivitätsinformationen aufzeichnen. Durch die Analyse dieser Informationen können wir ungewöhnliches Verhalten rechtzeitig erkennen und entsprechende Maßnahmen ergreifen.
In Linux-Systemen können wir das Auditing-Subsystem (auditd) verwenden, um die Systemsicherheitsüberwachung zu implementieren. Stellen Sie zunächst sicher, dass auf Ihrem System das auditd-Paket installiert ist. Wenn es nicht installiert ist, können Sie es mit dem folgenden Befehl installieren:
sudo apt-get install auditd
Nachdem die Installation abgeschlossen ist, müssen wir auditd konfigurieren, um mit der Aufzeichnung von Systemaktivitäten zu beginnen. Öffnen Sie die Datei /etc/audit/auditd.conf
und stellen Sie sicher, dass die folgende Einstellung aktiviert ist: /etc/audit/auditd.conf
文件,并确保以下设置被启用:
# 启用系统启动记录 # # 当auditd服务启动时,会记录一条启动记录 # # 可以通过`ausearch -m SYSTEM_BOOT`命令检查这条记录 # # 默认值为no # # 将其设置为yes开启记录 AUDITD_ENABLED=yes
接下来,我们需要配置audit规则,以指定我们希望记录的系统活动类型。例如,以下规则将记录登录和注销事件、文件和目录的访问:
# 监控登录和注销事件 -a always,exit -F arch=b64 -S execve -k login_logout # 监控文件和目录访问 -w /etc/passwd -p wa -k file_access -w /etc/shadow -p wa -k file_access -w /etc/group -p wa -k file_access
将以上规则添加到/etc/audit/rules.d/audit.rules
sudo auditctl -R /etc/audit/rules.d/audit.rulesAls Nächstes müssen wir die Prüfregeln konfigurieren, um die Art der Systemaktivität anzugeben, die wir protokollieren möchten . Die folgenden Regeln zeichnen beispielsweise Anmelde- und Abmeldeereignisse sowie Datei- und Verzeichniszugriffe auf:
sudo auditctl -a always,exit -F arch=b64 -S execve -k login_logoutFügen Sie die oben genannten Regeln zur Datei
/etc/audit/rules.d/audit.rules
hinzu, damit sie wirksam werden . Verwenden Sie nach dem Speichern der Datei den folgenden Befehl, um die Prüfregeln neu zu laden: ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUTDarüber hinaus können wir über den Befehl auditctl auch Laufzeitprüfregeln in Echtzeit hinzufügen, ändern und löschen. Der folgende Befehl überwacht beispielsweise die Anmelde- und Abmeldeereignisse eines Benutzers:
sudo aureport --start recent-hour -x --event login_logoutUm protokollierte Systemaktivitäten anzuzeigen, können wir den Befehl ausearch verwenden. Mit dem folgenden Befehl werden beispielsweise Aufzeichnungen aller Anmelde- und Abmeldeereignisse gefunden:
AUDITD_ENABLED=yesUm die Analyse und Berichterstattung von Systemaktivitäten zu erleichtern, können wir schließlich das vom Auditd-Tool bereitgestellte Audit-Log-Parsing-Skript verwenden. Diese Skripte können Audit-Protokolle in ein für Menschen lesbares Format konvertieren und verschiedene Filter- und Statistikfunktionen bereitstellen. Mit dem folgenden Befehl werden beispielsweise die Anmelde- und Abmeldeereignisse der letzten Stunde angezeigt:
# 监控登录和注销事件 -a always,exit -F arch=b64 -S execve -k login_logout # 监控文件和目录访问 -w /etc/passwd -p wa -k file_access -w /etc/shadow -p wa -k file_access -w /etc/group -p wa -k file_accessDurch die oben genannten Schritte können wir eine Systemsicherheitsüberwachung auf dem Linux-System einrichten und die Sicherheit des Systems verbessern, indem wir Systemaktivitäten überwachen und aufzeichnen . Es ist jedoch zu beachten, dass die Systemsicherheitsprüfung nur eine der Sicherheitsmaßnahmen ist und andere Sicherheitsmaßnahmen umfassend eingesetzt werden müssen, um ein vollständiges Sicherheitsschutzsystem einzurichten. Zusammenfassend lässt sich sagen, dass die Prüfung der Systemsicherheit von entscheidender Bedeutung ist, um unsere Systeme und Daten vor unbefugtem Zugriff und böswilligen Angriffen zu schützen. Dieser Artikel enthält Schritte und Codebeispiele zum Einrichten der Systemsicherheitsüberwachung unter Linux. Wir hoffen, dass er für Sie hilfreich ist. Referenzcode: /etc/audit/auditd.conf
rrreee
/etc/audit/rules.d/audit.rulesrrreee
sudo auditctl -a Always,exit -F arch=b64 -S execve -k login_logoutaussearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT🎜🎜sudo aureport --start last-hour -x --event login_logout🎜Das obige ist der detaillierte Inhalt vonSo richten Sie die Systemsicherheitsüberwachung unter Linux ein. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!