Цянь Л.В.
ФУНКЦИОНАЛ AUDITD ДЛЯ ОТСЛЕЖИВАНИЯ ИЗМЕНЕНИЙ ФАЙЛОВ СИСТЕМНОЙ КОНФИГУРАЦИИ *
Аннотация:
в работе рассмотрены особенности концепции и архитектуры auditd в операционной системе Linux, отмечена значимость взаимодействия auditd с ядром системы, представлены примеры использования инструмента для отслеживания изменений важных файлов систем6ной конфигурации и формирование отчетов на основе полученных данных.
Ключевые слова:
системная конфигурация, логирование, безопасность систем, ОС Линукс
Audit daemon (auditd) является ключевым компонентом системы аудита в операционной системе Linux. Auditd используется для обеспечения безопасности и отслеживания потенциально опасных действий в компьютерной сети, таких как несанкционированный доступ, изменение системных файлов, попытки взлома и другие угрозы. Демон помогает обнаруживать и предотвращать атаки, а также проводить анализ безопасности системы.Архитектура auditd представляет собой следующие ключевые компоненты:Audit daemon (auditd) – демон, который непрерывно работает в фоновом режиме и принимает сообщения о событиях от ядра. Он сохраняет записи аудита в лог-файлах для последующего анализа.Audit dispatcher (audispd) – плагин для auditd, который позволяет пересылать сообщения аудита другим приложениям в реальном времени. Это включает в себя системы централизованного сбора логов, такие как Syslog или SIEM.Файлы конфигурации auditd /etc/audit/auditd.conf и /etc/audit/rules.d/ – файлы, в которых хранятся настройки демона и правила аудита.Утилиты командной строки (auditctl, ausearch, aureport) – инструменты для управления аудитом, включая добавление/удаление правил и поиск/анализ событий аудита.Ядро Linux предоставляет ряд системных вызовов, которые позволяют auditd регистрировать различные события, такие как выполнение программ, изменения в файловой системе и другие важные операции. Системные вызовы, проходя через слой аудита в ядре, генерируют события аудита, если эти вызовы соответствуют установленным правилам. События аудита не могут быть изменены или уничтожены пользователями после их создания. Даже если пользователь с повышенными привилегиями попытается стереть или изменить журнал аудита, события всё равно сохранятся до перезагрузки системы.Во многих современных дистрибутивах Linux auditd предустановлен. Проверить статус auditd можно командой # auditctl –sФайлы системной конфигурации в операционной системе Linux представляют собой набор текстовых файлов, которые содержат настройки, определяющие поведение системы и приложений. Для добавления правил вручную используется командная утилита auditctl. Она служит для взаимодействия с подсистемой аудита ядра Linux и позволяет добавлять, удалять или обновлять правила аудита.Примеры команд для отслеживания доступа пользователей к системе (рисунок 1). /Рисунок 1. Правила аудита системных файлов учетных записей.где:-w указывает на файл для отслеживания./etc/passwd, /etc/shadow, /etc/group - файлы, отвечающие за пользователей и группы.-p wa обозначает запись и доступ.-k auth_changes устанавливает метку для идентификации события.После добавления правил полезно выполнить их проверку командой auditctl -l для отображения текущего списка правил.Для проверки работы правил изменим пароль пользователя с помощью команды passwd. Чтобы вывести только записи, связанные с добавленными правилами, воспользуемся командой ausearch -k auth_changes (рисунок 2)./Рисунок 2. Логи auth_changes.Отслеживание авторизаций пользователей (рисунок 3):/Рисунок 3. Правило системного вызова execve.где:-a always,exit добавляет правило, которое будет отслеживать системный вызов при завершении.-F arch=b64 указывает фильтр для 64-битных исполняемых файлов.-S execve отслеживает системный вызов execve, который связан с запуском исполняемых файлов.Отслеживание использования пользователями команды su (рисунок 4): /Рисунок 4. Правило аудита команды su.Таким образом, auditd зафиксирует любое использование команды su, дающей повышенные привилегии (рисунок 5). /Рисунок 5. Тестирование работы правила.Утилиты ausearch, aureport, aulast предоставляют удобные инструменты для просмотра журналов аудита. Например, с использованием команды aureport -au можно просмотреть данные о всех попытках доступа к системе. Утилита дает возможность формирования отчетов только по событиям, произошедшим в определенный промежуток времени. Для просмотра детальной информации о событии используется утилита ausearch. Чтобы представить вывод в удобочитаемом формате, можно использовать опцию –i.Autrace предоставляет возможность отслеживать системные вызовы, события и действия программ в реальном времени, выводя подробную информацию о взаимодействии с системой. Утилита aulast выводит список последних вошедших в систему пользователей. Aulast выполняет поиск в журналах и отображает список всех пользователей, вошедших в систему и вышедших из нее, в зависимости от диапазона времени в журналах аудита. Утилита aulastlog выводит последний вход всех пользователей системы.Таким образом, можно сказать, что auditd является мощным инструментом для обеспечения информационной безопасности и контроля происходящих в системе событий. Отслеживание изменений файлов системной конфигурации, использование данных аудита для анализа и устранения проблем с безопасностью позволяют существенно улучшить защиту информационной системы.
Номер журнала Вестник науки №1 (70) том 4
Ссылка для цитирования:
Цянь Л.В. ФУНКЦИОНАЛ AUDITD ДЛЯ ОТСЛЕЖИВАНИЯ ИЗМЕНЕНИЙ ФАЙЛОВ СИСТЕМНОЙ КОНФИГУРАЦИИ // Вестник науки №1 (70) том 4. С. 517 - 522. 2024 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/12664 (дата обращения: 17.05.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2024. 16+