Cara menggunakan log audit sistem CentOS untuk mengesan akses tanpa kebenaran kepada sistem

Cara menggunakan log audit sistem CentOS untuk memantau capaian yang tidak dibenarkan kepada sistem

Dengan perkembangan Internet, isu keselamatan rangkaian telah menjadi semakin ketara, dan banyak pentadbir sistem telah memberi perhatian yang lebih kepada keselamatan sistem . Sebagai sistem pengendalian sumber terbuka yang biasa digunakan, fungsi audit CentOS boleh membantu pentadbir sistem memantau keselamatan sistem, terutamanya untuk akses tanpa kebenaran. Artikel ini akan memperkenalkan cara menggunakan log audit sistem CentOS untuk memantau akses tanpa kebenaran kepada sistem dan menyediakan contoh kod.

1. Hidupkan fungsi log audit
Untuk menggunakan fungsi log audit sistem CentOS, anda perlu terlebih dahulu memastikan fungsi tersebut dihidupkan. Dalam sistem CentOS, anda boleh mendayakan fungsi log audit dengan mengubah suai fail /etc/audit/auditd.conf. Anda boleh menggunakan arahan berikut untuk membuka fail: /etc/audit/auditd.conf文件来开启审计日志功能。可以使用以下命令打开该文件：

sudo vi /etc/audit/auditd.conf

在该文件中，找到以下两行代码：

#local_events = yes
#write_logs = yes

将这两行代码前的注释符号#去掉，修改为以下形式：

local_events = yes
write_logs = yes

保存并退出文件。然后通过以下命令重启审计服务：

sudo service auditd restart

二、配置审计规则
开启审计日志功能后，接下来需要配置审计规则，以便监测未经授权的访问。可以通过修改/etc/audit/audit.rules文件来配置审计规则。可以使用以下命令打开该文件：

sudo vi /etc/audit/audit.rules

在该文件中，可以添加以下内容作为审计规则：

-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve

这两行规则将监测所有的执行操作。如果只想监测特定的执行操作，可以使用以下命令：

-a exit,always -F arch=b64 -S specific_execve_syscall

其中specific_execve_syscall为特定的执行操作的系统调用名称。可以根据具体需求修改该名称。添加完规则后，保存并退出文件。

三、查看审计日志
当系统收到未经授权的访问时，相关的信息将会被记录在审计日志中。可以使用以下命令查看审计日志：

sudo ausearch -ui 1000

其中1000为用户ID，可以根据具体情况修改。通过该命令可以查看特定用户的审计日志。也可以使用以下命令查看所有的审计日志：

sudo ausearch

以上命令将显示所有的审计日志。

四、增强审计日志功能
为了更好地监测未经授权的访问，还可以进一步增强审计日志功能。可以通过修改/etc/audit/audit.rules

-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session

Dalam fail, cari dua baris kod berikut:

-w /etc/passwd -p wa -k identity_changes
-w /etc/shadow -p wa -k identity_changes
-w /etc/group -p wa -k identity_changes
-w /etc/gshadow -p wa -k identity_changes
-w /etc/sudoers -p wa -k identity_changes
-w /etc/securetty -p wa -k identity_changes
-w /var/log/messages -p wa -k logfiles

1. Alih keluar simbol ulasan # sebelum dua baris kod ini dan ubah suainya ke borang berikut:

-w /etc/passwd -p rwa -k sensitive_files
-w /etc/shadow -p rwa -k sensitive_files
-w /etc/group -p rwa -k sensitive_files
-w /etc/gshadow -p rwa -k sensitive_files
-w /etc/sudoers -p rwa -k sensitive_files
-w /etc/securetty -p rwa -k sensitive_files

Simpan dan keluar dari fail. Kemudian mulakan semula perkhidmatan audit melalui arahan berikut:

rrreee
2. 2. Konfigurasikan peraturan audit
Selepas menghidupkan fungsi log audit, anda perlu mengkonfigurasi peraturan audit untuk memantau capaian yang tidak dibenarkan. Peraturan audit boleh dikonfigurasikan dengan mengubah suai fail /etc/audit/audit.rules. Fail boleh dibuka dengan arahan berikut:

rrreee

Dalam fail, kandungan berikut boleh ditambah sebagai peraturan audit:
3. rrreee
Dua baris peraturan ini akan memantau semua operasi pelaksanaan. Jika anda hanya mahu memantau operasi pelaksanaan tertentu, anda boleh menggunakan arahan berikut:

rrreee

di mana specific_execve_syscall ialah nama panggilan sistem bagi operasi pelaksanaan tertentu. Nama ini boleh diubah suai mengikut keperluan tertentu. Selepas menambah peraturan, simpan dan keluar fail.

3. Lihat log audit🎜Apabila sistem menerima akses tanpa kebenaran, maklumat yang berkaitan akan direkodkan dalam log audit. Anda boleh menggunakan arahan berikut untuk melihat log audit: 🎜rrreee🎜di mana 1000 ialah ID pengguna, yang boleh diubah suai mengikut situasi tertentu. Anda boleh menggunakan arahan ini untuk melihat log audit pengguna tertentu. Anda juga boleh menggunakan arahan berikut untuk melihat semua log audit: 🎜rrreee🎜Arahan di atas akan memaparkan semua log audit. 🎜🎜4. Meningkatkan fungsi log audit🎜Untuk memantau capaian yang tidak dibenarkan dengan lebih baik, fungsi log audit boleh dipertingkatkan lagi. Anda boleh mengkonfigurasi lebih banyak peraturan audit dengan mengubah suai fail /etc/audit/audit.rules. Berikut adalah beberapa peraturan audit yang biasa digunakan: 🎜🎜🎜 Pantau acara log masuk dan log keluar: 🎜🎜rrreee🎜🎜 Pantau peristiwa perubahan fail dan direktori: 🎜🎜rrreee🎜🎜 Pantau peristiwa pembacaan fail sensitif: 🎜🎜 rrreee ini. artikel memperkenalkan cara menggunakan log audit sistem CentOS untuk memantau akses tanpa kebenaran kepada sistem dan menyediakan contoh kod yang berkaitan. Dengan mendayakan fungsi log audit, mengkonfigurasi peraturan audit dan melihat log audit, anda boleh memantau keselamatan sistem dengan lebih baik dan menghalang peristiwa akses tanpa kebenaran. Pada masa yang sama, dengan mempertingkatkan fungsi log audit, keselamatan sistem boleh dipertingkatkan lagi. Pentadbir sistem boleh memilih peraturan audit yang sesuai untuk sistem mereka sendiri berdasarkan keperluan khusus, dan menyemak log audit dengan kerap untuk mengesan dan mengendalikan peristiwa capaian yang tidak dibenarkan tepat pada masanya untuk melindungi keselamatan sistem. 🎜

Atas ialah kandungan terperinci Cara menggunakan log audit sistem CentOS untuk mengesan akses tanpa kebenaran kepada sistem. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!