Linux でネットワーク セキュリティ監査を構成する方法

Linux でネットワーク セキュリティ監査を構成する方法

ネットワーク セキュリティ監査は、ネットワーク システムのセキュリティと安定性を確保するための重要なプロセスです。 Linux システムのネットワーク セキュリティ監査は、管理者がネットワーク アクティビティを監視し、潜在的なセキュリティ問題を発見し、タイムリーな対策を講じるのに役立ちます。この記事では、Linux でネットワーク セキュリティ監査を構成する方法を紹介し、読者の理解を助けるコード例を示します。

1. Auditd のインストール

Auditd は、Linux システムのデフォルトのセキュリティ監査フレームワークです。まず Auditd をインストールする必要があります。

Ubuntu システムでは、次のコマンドを使用してインストールできます:

sudo apt-get install auditd

CentOS システムでは、次のコマンドを使用してインストールできます:

sudo yum install audit

2. Auditd の構成

インストールが完了したら、Audidd でいくつかの基本的な構成を実行する必要があります。メインの設定ファイルは /etc/audit/auditd.conf です。このファイルを編集すると、いくつかの構成オプションを調整できます。

以下はサンプル構成ファイルの内容です:

# /etc/auditd.conf
# 注意这里的路径可能因不同系统而有所不同

# 本地日志文件存储的路径
log_file = /var/log/audit/audit.log

# 最大日志文件大小
max_log_file = 50

# 最大日志存储时间
max_log_file_action = keep_logs

# 日志保留的天数
num_days = 30

# 空闲时间（秒）
idletime = 600

# 发现故障后自动停止
space_left_action = email

# 发现故障后实时通知的邮箱地址
admin_space_left_action = root@localhost

# 设定审计系统时额外添加的项目
# 以下是一个示例配置，根据需要可自行调整
# -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at,openat2 -F exit=-EACCES -F auid>=1000 -F auid!=-1 -k access

システムとニーズに応じて構成を調整する必要があることに注意してください。構成が完了したら、ファイルを保存し、auditd サービスを再起動します。

sudo systemctl restart auditd

3. 一般的に使用される Auditd コマンド

設定が完了したら、いくつかの一般的な Auditd コマンドを使用して、ネットワーク アクティビティと監査ログを監視できます。

1. audispd-plugins プラグイン

audispd-plugins は、Auditd ログを Syslog や他のツールに転送できる Auditd プラグインです。 Elasticsearch 待機します。

Ubuntu システムでは、次のコマンドを使用してインストールできます。

sudo apt-get install audispd-plugins

CentOS システムでは、次のコマンドを使用してインストールできます。

sudo yum install audispd-plugins

設定ファイル /etc/audisp/plugins.d/syslog.confでは、ログの転送先を指定できます。次の例では、ログを Syslog に転送します。

active = yes
direction = out
path = /sbin/audispd-in_syslog
type = builtin
args = LOG_INFO
format = string

2. ausearch

ausearch は、Audit をクエリできる Auditd のコマンド ライン ツールです。ログ。以下に、一般的に使用されるコマンドの例をいくつか示します。

# 查询所有事件
sudo ausearch -m all

# 查询指定时间段的日志
sudo ausearch --start "10 minutes ago" --end "now"

# 根据用户查询日志
sudo ausearch -ua username

# 根据文件路径查询日志
sudo ausearch -f /path/to/file

# 根据系统调用查询日志
sudo ausearch -sc open

3. aureport

aureport は、さまざまなレポートを生成できる Auditd レポート ツールです。一般的に使用されるコマンドの例をいくつか示します:

# 生成所有的事件报告
sudo aureport

# 生成文件相关的事件报告
sudo aureport -f

# 生成用户相关的事件报告
sudo aureport -i

# 生成系统调用的事件报告
sudo aureport -c

IV. 主な設定例

以下は、ユーザーのログインとコマンドの実行を監査するためのサンプル設定です:

sudo auditctl -a always,exit -F arch=b64 -S execve -k command
sudo auditctl -a always,exit -F arch=b64 -S execveat -k command
sudo auditctl -a always,exit -F arch=b32 -S execve -k command
sudo auditctl -a always,exit -F arch=b32 -S execveat -k command
sudo auditctl -a always,exit -F arch=b64 -S sendto -F auid>=500 -F auid!=4294967295 -k connect

上記設定では、すべてのユーザーが実行したコマンドと送信されたネットワーク トラフィックが記録されます。

5. 概要

Linux システム上でネットワーク セキュリティ監査を構成することは、システム セキュリティを確保する上で重要です。 Auditd をインストールして構成すると、ネットワーク アクティビティを監視し、潜在的なセキュリティ問題を発見できます。この記事では、Auditd のインストール、基本構成、一般的なコマンドおよび主要な構成例を紹介し、読者の理解を助けるサンプル コードを提供します。

この記事が、Linux システムでのネットワーク セキュリティ監査の実施に役立つことを願っています。さらにご質問がございましたら、お気軽にお問い合わせください。

以上がLinux でネットワーク セキュリティ監査を構成する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。