CentOS 시스템의 감사 로그를 사용하여 시스템에 대한 무단 액세스를 탐지하는 방법

CentOS 시스템의 감사 로그를 사용하여 시스템에 대한 무단 액세스를 모니터링하는 방법

인터넷이 발전함에 따라 네트워크 보안 문제가 점점 더 중요해지고 있으며 많은 시스템 관리자가 시스템 보안에 점점 더 많은 관심을 기울이고 있습니다. . 일반적으로 사용되는 오픈 소스 운영 체제인 CentOS의 감사 기능은 시스템 관리자가 특히 무단 액세스에 대해 시스템 보안을 모니터링하는 데 도움이 될 수 있습니다. 이 문서에서는 CentOS 시스템의 감사 로그를 사용하여 시스템에 대한 무단 액세스를 모니터링하는 방법을 소개하고 코드 예제를 제공합니다.

1. 감사 로그 기능 켜기
CentOS 시스템의 감사 로그 기능을 사용하려면 먼저 해당 기능이 켜져 있는지 확인해야 합니다. CentOS 시스템에서는 /etc/audit/auditd.conf 파일을 수정하여 감사 로그 기능을 활성화할 수 있습니다. 다음 명령을 사용하여 파일을 열 수 있습니다. /etc/audit/auditd.conf文件来开启审计日志功能。可以使用以下命令打开该文件：

sudo vi /etc/audit/auditd.conf

在该文件中，找到以下两行代码：

#local_events = yes
#write_logs = yes

将这两行代码前的注释符号#去掉，修改为以下形式：

local_events = yes
write_logs = yes

保存并退出文件。然后通过以下命令重启审计服务：

sudo service auditd restart

二、配置审计规则
开启审计日志功能后，接下来需要配置审计规则，以便监测未经授权的访问。可以通过修改/etc/audit/audit.rules文件来配置审计规则。可以使用以下命令打开该文件：

sudo vi /etc/audit/audit.rules

在该文件中，可以添加以下内容作为审计规则：

-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve

这两行规则将监测所有的执行操作。如果只想监测特定的执行操作，可以使用以下命令：

-a exit,always -F arch=b64 -S specific_execve_syscall

其中specific_execve_syscall为特定的执行操作的系统调用名称。可以根据具体需求修改该名称。添加完规则后，保存并退出文件。

三、查看审计日志
当系统收到未经授权的访问时，相关的信息将会被记录在审计日志中。可以使用以下命令查看审计日志：

sudo ausearch -ui 1000

其中1000为用户ID，可以根据具体情况修改。通过该命令可以查看特定用户的审计日志。也可以使用以下命令查看所有的审计日志：

sudo ausearch

以上命令将显示所有的审计日志。

四、增强审计日志功能
为了更好地监测未经授权的访问，还可以进一步增强审计日志功能。可以通过修改/etc/audit/audit.rules

-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session

파일에서 다음 두 줄의 코드를 찾습니다.

-w /etc/passwd -p wa -k identity_changes
-w /etc/shadow -p wa -k identity_changes
-w /etc/group -p wa -k identity_changes
-w /etc/gshadow -p wa -k identity_changes
-w /etc/sudoers -p wa -k identity_changes
-w /etc/securetty -p wa -k identity_changes
-w /var/log/messages -p wa -k logfiles

1. 이 두 줄의 코드 앞에 있는 주석 기호 #를 제거하고 수정합니다. 다음 형식으로:

-w /etc/passwd -p rwa -k sensitive_files
-w /etc/shadow -p rwa -k sensitive_files
-w /etc/group -p rwa -k sensitive_files
-w /etc/gshadow -p rwa -k sensitive_files
-w /etc/sudoers -p rwa -k sensitive_files
-w /etc/securetty -p rwa -k sensitive_files

파일을 저장하고 종료합니다. 그런 다음 다음 명령을 통해 감사 서비스를 다시 시작합니다.

rrreee
2. 2. 감사 규칙 구성
감사 로그 기능을 켠 후 무단 액세스를 모니터링하려면 감사 규칙을 구성해야 합니다. 감사 규칙은 /etc/audit/audit.rules 파일을 수정하여 구성할 수 있습니다. 다음 명령을 사용하여 파일을 열 수 있습니다.

rrreee

파일에서 다음 내용을 감사 규칙으로 추가할 수 있습니다.
3. rrreee
이 두 줄의 규칙은 모든 실행 작업을 모니터링합니다. 특정 실행 작업만 모니터링하려는 경우 다음 명령을 사용할 수 있습니다.

rrreee

여기서 특정_execve_syscall은 특정 실행 작업의 시스템 호출 이름입니다. 이 이름은 특정 필요에 따라 수정될 수 있습니다. 규칙을 추가한 후 파일을 저장하고 종료합니다.

3. 감사 로그 보기🎜 시스템에 무단 액세스가 수신되면 관련 정보가 감사 로그에 기록됩니다. 다음 명령을 사용하여 감사 로그를 볼 수 있습니다. 🎜rrreee🎜여기서 1000은 사용자 ID이며 특정 상황에 따라 수정될 수 있습니다. 이 명령을 사용하여 특정 사용자의 감사 로그를 볼 수 있습니다. 다음 명령을 사용하여 모든 감사 로그를 볼 수도 있습니다. 🎜rrreee🎜위 명령은 모든 감사 로그를 표시합니다. 🎜🎜4. 감사 로그 기능 강화🎜 무단 액세스를 더 잘 모니터링하기 위해 감사 로그 기능을 더욱 강화할 수 있습니다. /etc/audit/audit.rules 파일을 수정하여 더 많은 감사 규칙을 구성할 수 있습니다. 다음은 일반적으로 사용되는 몇 가지 감사 규칙입니다. 🎜🎜🎜 로그인 및 로그아웃 이벤트 모니터링: 🎜🎜rrreee🎜🎜 파일 및 디렉터리 변경 이벤트 모니터링: 🎜🎜rrreee🎜🎜 민감한 파일 읽기 이벤트 모니터링: 🎜🎜rrreee🎜 4. 요약 🎜This 이 기사에서는 CentOS 시스템의 감사 로그를 사용하여 시스템에 대한 무단 액세스를 모니터링하는 방법을 소개하고 관련 코드 예제를 제공합니다. 감사 로그 기능을 활성화하고, 감사 규칙을 구성하고, 감사 로그를 확인하면 시스템 보안을 더 효과적으로 모니터링하고 무단 액세스 이벤트를 방지할 수 있습니다. 동시에 감사 로그 기능을 강화함으로써 시스템의 보안을 더욱 향상시킬 수 있습니다. 시스템 관리자는 특정 요구 사항에 따라 자신의 시스템에 적합한 감사 규칙을 선택할 수 있으며, 정기적으로 감사 로그를 확인하여 무단 액세스 이벤트를 적시에 감지하고 처리하여 시스템 보안을 보호할 수 있습니다. 🎜

위 내용은 CentOS 시스템의 감사 로그를 사용하여 시스템에 대한 무단 액세스를 탐지하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!