Bagaimana untuk mengkonfigurasi pengauditan keselamatan rangkaian pada Linux

Cara mengkonfigurasi pengauditan keselamatan rangkaian pada Linux

Pengauditan keselamatan rangkaian ialah proses penting untuk memastikan keselamatan dan kestabilan sistem rangkaian. Pengauditan keselamatan rangkaian pada sistem Linux boleh membantu pentadbir memantau aktiviti rangkaian, menemui isu keselamatan yang berpotensi dan mengambil langkah tepat pada masanya. Artikel ini akan memperkenalkan cara mengkonfigurasi pengauditan keselamatan rangkaian pada Linux dan menyediakan contoh kod untuk membantu pembaca memahami dengan lebih baik.

1. Pasang Auditd

Auditd ialah rangka kerja audit keselamatan lalai untuk sistem Linux. Mula-mula kita perlu memasang Auditd.

Pada sistem Ubuntu, anda boleh memasangnya melalui arahan berikut:

sudo apt-get install auditd

Pada sistem CentOS, anda boleh memasangnya melalui arahan berikut:

sudo yum install audit

2. Konfigurasikan Auditd

Selepas pemasangan selesai, kita perlu untuk melaksanakan beberapa operasi asas pada konfigurasi Auditd. Fail konfigurasi utama ialah /etc/audit/auditd.conf. Dengan mengedit fail ini, anda boleh melaraskan beberapa pilihan konfigurasi. /etc/audit/auditd.conf。编辑该文件，可以调整一些配置选项。

以下是一个示例配置文件的内容：

# /etc/auditd.conf
# 注意这里的路径可能因不同系统而有所不同

# 本地日志文件存储的路径
log_file = /var/log/audit/audit.log

# 最大日志文件大小
max_log_file = 50

# 最大日志存储时间
max_log_file_action = keep_logs

# 日志保留的天数
num_days = 30

# 空闲时间（秒）
idletime = 600

# 发现故障后自动停止
space_left_action = email

# 发现故障后实时通知的邮箱地址
admin_space_left_action = root@localhost

# 设定审计系统时额外添加的项目
# 以下是一个示例配置，根据需要可自行调整
# -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at,openat2 -F exit=-EACCES -F auid>=1000 -F auid!=-1 -k access

注意，你需要根据系统和需求自行调整配置。在完成配置后，保存文件并重新启动 auditd 服务。

sudo systemctl restart auditd

三、常用Auditd命令

配置完成后，我们可以使用一些常用的 Auditd 命令来监控网络活动和审计日志。

1. audispd-plugins 插件

audispd-plugins 是一个 Auditd 的插件，可以将 Auditd 日志转发到其他工具，如 Syslog 或 Elasticsearch 等。

在Ubuntu系统上，可通过以下命令进行安装：

sudo apt-get install audispd-plugins

在CentOS系统上，可通过以下命令进行安装：

sudo yum install audispd-plugins

在配置文件 /etc/audisp/plugins.d/syslog.conf 中，你可以指定日志转发的目标。在以下示例中，我们将日志转发到 Syslog：

active = yes
direction = out
path = /sbin/audispd-in_syslog
type = builtin
args = LOG_INFO
format = string

2. ausearch

ausearch 是一个 Auditd 的命令行工具，可以查询 Audit 日志。以下是几个常用的命令示例：

# 查询所有事件
sudo ausearch -m all

# 查询指定时间段的日志
sudo ausearch --start "10 minutes ago" --end "now"

# 根据用户查询日志
sudo ausearch -ua username

# 根据文件路径查询日志
sudo ausearch -f /path/to/file

# 根据系统调用查询日志
sudo ausearch -sc open

3. aureport

aureport

Berikut ialah kandungan contoh fail konfigurasi:

# 生成所有的事件报告
sudo aureport

# 生成文件相关的事件报告
sudo aureport -f

# 生成用户相关的事件报告
sudo aureport -i

# 生成系统调用的事件报告
sudo aureport -c

Perhatikan bahawa anda perlu melaraskan sendiri konfigurasi mengikut sistem dan keperluan anda. Selepas melengkapkan konfigurasi, simpan fail dan mulakan semula perkhidmatan auditd.

sudo auditctl -a always,exit -F arch=b64 -S execve -k command
sudo auditctl -a always,exit -F arch=b64 -S execveat -k command
sudo auditctl -a always,exit -F arch=b32 -S execve -k command
sudo auditctl -a always,exit -F arch=b32 -S execveat -k command
sudo auditctl -a always,exit -F arch=b64 -S sendto -F auid>=500 -F auid!=4294967295 -k connect

3. Perintah Auditd yang biasa digunakan

Selepas konfigurasi selesai, kami boleh menggunakan beberapa arahan Auditd biasa untuk memantau aktiviti rangkaian dan log audit.

1. pemalam audispd-plugins

audispd-plugins ialah pemalam Auditd yang boleh memajukan log Auditd ke alatan lain, seperti Syslog atau Elasticsearch, dsb.

Pada sistem Ubuntu, anda boleh memasangnya dengan arahan berikut:

rrreee

Pada sistem CentOS, anda boleh memasangnya dengan arahan berikut: 🎜rrreee🎜Dalam fail konfigurasi /etc/audisp/plugins.d/ syslog.conf , anda boleh menentukan destinasi pemajuan log. Dalam contoh berikut, kami memajukan log ke Syslog: 🎜rrreee

2. pencarian

🎜pencarian ialah alat baris arahan untuk Auditd , anda boleh menanyakan log Audit. Berikut ialah beberapa contoh arahan yang biasa digunakan: 🎜rrreee

3. aureport

🎜aureport ialah alat pelaporan Auditd yang boleh menjana pelbagai jenis daripada laporan. Berikut ialah beberapa contoh arahan yang biasa digunakan: 🎜rrreee🎜 IV Contoh konfigurasi utama 🎜🎜Berikut adalah contoh konfigurasi untuk mengaudit log masuk pengguna dan pelaksanaan arahan: 🎜rrreee🎜Konfigurasi di atas akan merekodkan arahan yang dilaksanakan oleh semua pengguna dan arahan. dihantar Trafik rangkaian. 🎜🎜5. Ringkasan🎜🎜Mengkonfigurasi pengauditan keselamatan rangkaian pada sistem Linux ialah bahagian penting dalam memastikan keselamatan sistem. Dengan memasang dan mengkonfigurasi Auditd, anda boleh memantau aktiviti rangkaian dan menemui isu keselamatan yang berpotensi. Artikel ini memperkenalkan pemasangan Auditd, konfigurasi asas, arahan biasa dan contoh konfigurasi utama serta menyediakan kod sampel untuk membantu pembaca memahami dengan lebih baik. 🎜🎜Semoga artikel ini dapat membantu anda menjalankan audit keselamatan rangkaian pada sistem Linux. Jika anda mempunyai sebarang pertanyaan lanjut, sila berasa bebas untuk bertanya kepada kami. 🎜

Atas ialah kandungan terperinci Bagaimana untuk mengkonfigurasi pengauditan keselamatan rangkaian pada Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!