Linux에서 네트워크 보안 감사를 구성하는 방법-리눅스 운영 및 유지 관리-php.cn

집

운영 및 유지보수

리눅스 운영 및 유지 관리

Linux에서 네트워크 보안 감사를 구성하는 방법

PHPz

Jul 06, 2023 pm 08:37 PM

네트워크 보안 구성리눅스 보안 감사리눅스 네트워크 감사

Linux에서 네트워크 보안 감사를 구성하는 방법

네트워크 보안 감사는 네트워크 시스템의 보안과 안정성을 보장하는 중요한 프로세스입니다. Linux 시스템의 네트워크 보안 감사는 관리자가 네트워크 활동을 모니터링하고 잠재적인 보안 문제를 발견하며 적시에 조치를 취하는 데 도움이 될 수 있습니다. 이 기사에서는 Linux에서 네트워크 보안 감사를 구성하는 방법을 소개하고 독자의 이해를 돕기 위해 코드 예제를 제공합니다.

1. Auditd 설치

Auditd는 Linux 시스템용 기본 보안 감사 프레임워크입니다. 먼저 Auditd를 설치해야 합니다.

Ubuntu 시스템에서는 다음 명령을 통해 설치할 수 있습니다.

sudo apt-get install auditd

CentOS 시스템에서는 다음 명령을 통해 설치할 수 있습니다.

sudo yum install audit

2. Auditd 구성

설치가 완료된 후 다음 작업을 수행해야 합니다. Auditd 구성에 대한 몇 가지 기본 작업입니다. 기본 구성 파일은 /etc/audit/auditd.conf입니다. 이 파일을 편집하면 일부 구성 옵션을 조정할 수 있습니다. /etc/audit/auditd.conf。编辑该文件，可以调整一些配置选项。

以下是一个示例配置文件的内容：

# /etc/auditd.conf
# 注意这里的路径可能因不同系统而有所不同

# 本地日志文件存储的路径
log_file = /var/log/audit/audit.log

# 最大日志文件大小
max_log_file = 50

# 最大日志存储时间
max_log_file_action = keep_logs

# 日志保留的天数
num_days = 30

# 空闲时间（秒）
idletime = 600

# 发现故障后自动停止
space_left_action = email

# 发现故障后实时通知的邮箱地址
admin_space_left_action = root@localhost

# 设定审计系统时额外添加的项目
# 以下是一个示例配置，根据需要可自行调整
# -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at,openat2 -F exit=-EACCES -F auid>=1000 -F auid!=-1 -k access

注意，你需要根据系统和需求自行调整配置。在完成配置后，保存文件并重新启动 auditd 服务。

sudo systemctl restart auditd

三、常用Auditd命令

配置完成后，我们可以使用一些常用的 Auditd 命令来监控网络活动和审计日志。

audispd-plugins 插件

audispd-plugins 是一个 Auditd 的插件，可以将 Auditd 日志转发到其他工具，如 Syslog 或 Elasticsearch 等。

在Ubuntu系统上，可通过以下命令进行安装：

sudo apt-get install audispd-plugins

在CentOS系统上，可通过以下命令进行安装：

sudo yum install audispd-plugins

在配置文件 /etc/audisp/plugins.d/syslog.conf 中，你可以指定日志转发的目标。在以下示例中，我们将日志转发到 Syslog：

active = yes
direction = out
path = /sbin/audispd-in_syslog
type = builtin
args = LOG_INFO
format = string

ausearch

ausearch 是一个 Auditd 的命令行工具，可以查询 Audit 日志。以下是几个常用的命令示例：

# 查询所有事件
sudo ausearch -m all

# 查询指定时间段的日志
sudo ausearch --start "10 minutes ago" --end "now"

# 根据用户查询日志
sudo ausearch -ua username

# 根据文件路径查询日志
sudo ausearch -f /path/to/file

# 根据系统调用查询日志
sudo ausearch -sc open

aureport

aureport

다음은 예제 구성 파일의 내용입니다.

# 生成所有的事件报告
sudo aureport

# 生成文件相关的事件报告
sudo aureport -f

# 生成用户相关的事件报告
sudo aureport -i

# 生成系统调用的事件报告
sudo aureport -c

시스템과 필요에 따라 구성을 직접 조정해야 합니다. 구성을 완료한 후 파일을 저장하고 auditd 서비스를 다시 시작합니다.

sudo auditctl -a always,exit -F arch=b64 -S execve -k command
sudo auditctl -a always,exit -F arch=b64 -S execveat -k command
sudo auditctl -a always,exit -F arch=b32 -S execve -k command
sudo auditctl -a always,exit -F arch=b32 -S execveat -k command
sudo auditctl -a always,exit -F arch=b64 -S sendto -F auid>=500 -F auid!=4294967295 -k connect

3. 일반적으로 사용되는 Auditd 명령

구성이 완료되면 몇 가지 일반적인 Auditd 명령을 사용하여 네트워크 활동 및 감사 로그를 모니터링할 수 있습니다.

audispd-plugins 플러그인

audispd-plugins은 Auditd 로그를 Syslog와 같은 다른 도구로 전달할 수 있는 Auditd 플러그인입니다. 또는 Elasticsearch 등.

Ubuntu 시스템에서는 다음 명령을 사용하여 설치할 수 있습니다.

rrreee

CentOS 시스템에서는 다음 명령을 사용하여 설치할 수 있습니다. 🎜rrreee🎜구성 파일 /etc/audisp/plugins.d/에서 syslog.conf 에서 로그 전달 대상을 지정할 수 있습니다. 다음 예에서는 로그를 Syslog로 전달합니다. 🎜rrreee

ausearch

🎜ausearch는 Auditd용 명령줄 도구입니다. , 감사 로그를 쿼리할 수 있습니다. 다음은 일반적으로 사용되는 몇 가지 명령 예입니다. 🎜rrreee

aureport

🎜aureport는 다양한 종류의 보고서를 생성할 수 있는 Auditd 보고 도구입니다. 보고의. 다음은 일반적으로 사용되는 몇 가지 명령 예입니다. 🎜rrreee🎜 IV. 주요 구성 예 🎜🎜다음은 사용자 로그인 및 명령 실행을 감사하기 위한 샘플 구성입니다. 🎜rrreee🎜위 구성은 모든 사용자가 실행하는 명령과 명령을 기록합니다. 네트워크 트래픽을 보냈습니다. 🎜🎜5. 요약🎜🎜Linux 시스템에서 네트워크 보안 감사를 구성하는 것은 시스템 보안을 보장하는 중요한 부분입니다. Auditd를 설치하고 구성하면 네트워크 활동을 모니터링하고 잠재적인 보안 문제를 발견할 수 있습니다. 이 글에서는 Auditd의 설치, 기본 구성, 공통 명령어, 주요 구성 예시를 소개하고, 독자의 이해를 돕기 위해 샘플 코드를 제공합니다. 🎜🎜이 기사가 Linux 시스템에서 네트워크 보안 감사를 수행하는 데 도움이 되기를 바랍니다. 더 궁금한 점이 있으시면 언제든지 문의해 주세요. 🎜

위 내용은 Linux에서 네트워크 보안 감사를 구성하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

Linux의 유지 보수 모드 : 언제 및 왜 사용해야하는지Apr 25, 2025 am 12:15 AM

Linux 유지 관리 모드 사용 타이밍 및 이유 : 1) 시스템이 시작될 때 2) 주요 시스템 업데이트 또는 업그레이드를 수행 할 때 3) 파일 시스템 유지 관리를 수행 할 때. 유지 보수 모드는 안전하고 제어 된 환경을 제공하여 운영 안전 및 효율성을 보장하고 사용자에게 미치는 영향을 줄이며 시스템 보안을 향상시킵니다.

Linux : 필수 명령 및 운영Apr 24, 2025 am 12:20 AM

Linux의 필수 명령에는 다음이 포함됩니다. 1.LS : 목록 디렉토리 내용; 2.CD : 작업 디렉토리 변경; 3.mkdir : 새 디렉토리 생성; 4.RM : 파일 또는 디렉토리 삭제; 5.CP : 파일 또는 디렉토리 복사; 6.mv : 파일 또는 디렉토리를 이동하거나 바꾸십시오. 이러한 명령은 사용자가 커널과 상호 작용하여 파일 및 시스템을 효율적으로 관리하는 데 도움이됩니다.

Linux 작업 : 파일, 디렉토리 및 권한 관리Apr 23, 2025 am 12:19 AM

Linux에서 파일 및 디렉토리 관리는 LS, CD, MKDIR, RM, CP, MV 명령을 사용하며 권한 관리는 CHMOD, Chown 및 CHGRP 명령을 사용합니다. 1. 파일 및 디렉토리 관리 명령 LS-L 목록 상세 정보와 같은 MKDIR-P는 디렉토리를 재귀 적으로 생성합니다. 2. CHMOD755FILE SET 파일 권한 설정, ChownUserFile 변경 파일 소유자 및 CHGRPGROUPFILE와 같은 허가 관리 명령은 파일 그룹을 변경합니다. 이러한 명령은 파일 시스템 구조 및 사용자 및 그룹 시스템을 기반으로하며 시스템 호출 및 메타 데이터를 통해 작동 및 제어합니다.

Linux의 유지 관리 모드 란 무엇입니까? 설명했다Apr 22, 2025 am 12:06 AM

MaintenanceModeInlinlinlinuxisspecialbootenvernmentforcriticalsystemmaintenancetasks.itallowsAdministratorStorformtaskSlikeresettingpasswords, Repairingfilesystems, Andrecoveringfrombootfailuresinaminimalenvernment.toentermaintingancemode, intermainteancemode

Linux : 기본 부분에 대한 깊은 다이빙Apr 21, 2025 am 12:03 AM

Linux의 핵심 구성 요소에는 커널, 파일 시스템, 쉘, 사용자 및 커널 공간, 장치 드라이버 및 성능 최적화 및 모범 사례가 포함됩니다. 1) 커널은 하드웨어, 메모리 및 프로세스를 관리하는 시스템의 핵심입니다. 2) 파일 시스템은 데이터를 구성하고 Ext4, BTRF 및 XFS와 같은 여러 유형을 지원합니다. 3) Shell은 사용자가 시스템과 상호 작용하고 스크립팅을 지원하는 명령 센터입니다. 4) 시스템 안정성을 보장하기 위해 사용자 공간을 커널 공간과 별도로 분리하십시오. 5) 장치 드라이버는 하드웨어를 운영 체제에 연결합니다. 6) 성능 최적화에는 튜닝 시스템 구성 및 다음 모범 사례가 포함됩니다.

Linux Architecture : 5 개의 기본 구성 요소를 공개합니다Apr 20, 2025 am 12:04 AM

Linux 시스템의 5 가지 기본 구성 요소는 다음과 같습니다. 1. Kernel, 2. System Library, 3. System Utilities, 4. 그래픽 사용자 인터페이스, 5. 응용 프로그램. 커널은 하드웨어 리소스를 관리하고 시스템 라이브러리는 사전 컴파일 된 기능을 제공하며 시스템 유틸리티는 시스템 관리에 사용되며 GUI는 시각적 상호 작용을 제공하며 응용 프로그램은 이러한 구성 요소를 사용하여 기능을 구현합니다.

Linux 작업 : 유지 보수 모드 사용Apr 19, 2025 am 12:08 AM

Linux 유지 관리 모드는 Grub 메뉴를 통해 입력 할 수 있습니다. 특정 단계는 다음과 같습니다. 1) Grub 메뉴에서 커널을 선택하고 'e'를 눌러 편집, 2) 'Linux'라인 끝에 '단일'또는 '1'추가, 3) Ctrl X를 눌러 시작합니다. 유지 보수 모드는 시스템 수리, 비밀번호 재설정 및 시스템 업그레이드와 같은 작업을위한 안전한 환경을 제공합니다.

Linux : 복구 모드에 들어가는 방법 (및 유지 보수)Apr 18, 2025 am 12:05 AM

Linux 복구 모드를 입력하는 단계는 다음과 같습니다. 1. 시스템을 다시 시작하고 특정 키를 눌러 Grub 메뉴를 입력하십시오. 2. (복구 계)로 옵션을 선택하십시오. 3. FSCK 또는 루트와 같은 복구 모드 메뉴에서 작업을 선택하십시오. 복구 모드를 사용하면 단일 사용자 모드에서 시스템을 시작하고 파일 시스템 검사 및 수리를 수행하고 구성 파일 편집 및 기타 작업을 수행하여 시스템 문제를 해결할 수 있습니다.

See all articles