Mụta Nyochaa Sistemụ Linux na Ngwa Auditd na CentOS/RHEL

Nyochaa sistemụ na-ezo aka na nyocha miri emi nke otu usoro ezubere iche: nyocha bụ nyocha nke akụkụ dị iche iche nke mejupụtara usoro ahụ, yana nyocha dị oke egwu (na nnwale ma ọ bụrụ na achọrọ) n'akụkụ dị iche iche nke mmasị.

Otu n'ime sistemụ dị mkpa dị na RHEL/CentOS sistemụ nyocha Linux nke a na-akpọkarị auditd. Ọ na-eme usoro iji soro ozi metụtara nchekwa na sistemụ: ọ na-eji iwu ahaziri tupu achịkọta ozi buru ibu gbasara ihe ndị na-eme na sistemụ, wee dekọọ ha na faịlụ ndekọ, si otú a na-emepụta nnwale nyocha.

Ọ nwere ike ịdekọ ozi dịka ụbọchị na oge, ụdị na nsonaazụ ihe omume; ndị ọrụ kpatara ihe omume ahụ, mgbanwe ọ bụla emere na faịlụ/ọdụ data; ojiji nke usoro nyocha sistemụ, dị ka PAM, LDAP, SSH, na ndị ọzọ.

Auditd na-edebanye aha mgbanwe ọ bụla emere na faịlụ nhazi nyocha ma ọ bụ mbọ ọ bụla iji nweta faịlụ ndekọ ndekọ, yana mbọ ọ bụla ibubata ma ọ bụ mbupụ ozi n'ime ma ọ bụ site na sistemụ yana ọtụtụ ozi metụtara nchekwa ndị ọzọ.

1. Ọ dịghị achọ mmemme ma ọ bụ usoro mpụga ọ bụla iji rụọ ọrụ na sistemụ na-eme ka ọ dabere n'onwe ya.
2. Ọ bụ nhazi nke ukwuu yabụ na-enyere gị aka ilele ọrụ sistemụ ọ bụla ịchọrọ.
3. Ọ na-enyere aka n'ịchọpụta ma ọ bụ nyochaa mmejọ nke sistemụ.
4. O nwere ike ịrụ ọrụ dị ka sistemụ nchọpụta nọọrọ onwe ya.
5. Ọ nwere ike na-arụ ọrụ na Intrusion Detection Systems iji mee ka nchọpụta intrusion pụta ìhè.
6. Ọ bụ ngwá ọrụ dị mkpa maka inyocha nyocha nyocha.

Usoro nyocha ahụ nwere akụkụ abụọ bụ isi, ya bụ:

• ngwa ọrụ-ohere na akụrụngwa/ngwaọrụ, na
• nhazi oku sistemu kernel-side – nke a na-anabata oku sistemu sitere na ngwa onye ọrụ-oghere wee nyefee ha n'ụdị nzacha atọ, ya bụ: onye ọrụ, ọrụ, ọpụpụ, ma ọ bụ wepu.

Akụkụ kachasị mkpa bụ onye ọrụ-space audit daemon (auditd) nke na-anakọta ozi dabere na iwu ahaziri mbụ, site na kernel wee wepụta ntinye na faịlụ ndekọ: ndekọ ndabara bụ /var/log/audit/audit.log.

Na mgbakwunye, audispd (audit dispatcher daemon) bụ mmemme multiplexor na-emekọrịta ihe na auditd ma na-eziga mmemme na mmemme ndị ọzọ chọrọ ịme nhazi mmemme ozugbo.

Enwere ọtụtụ ngwaọrụ-oghere onye ọrụ maka ijikwa na weghachite ozi na sistemụ nyocha:

• auditctl – ihe eji ejikwa sistemu nyocha kernel.
• ausearch – ngwa maka ịchọ faịlụ ndekọ ndekọ maka mmemme akọwapụtara.
• aureport – ngwa maka imepụta akụkọ ihe omume edere.

Otu esi etinye ma hazie ngwa nyocha na RHEL/CentOS/Fedora

Buru ụzọ hụ na etinyere ngwaọrụ nyocha na sistemụ gị site na iji grep utility dị ka ndị a:

# rpm -qa | grep audit

Ọ bụrụ na ịnweghị ngwungwu ndị a dị n'elu arụnyere, mee iwu a dị ka onye ọrụ mgbọrọgwụ iji wụnye ha.

# yum install audit

Na-esote, lelee ma ọ bụrụ na agbanyere nyocha ma na-agba ọsọ, nye iwu systemctl n'okpuru na ọdụ.

--------------- On CentOS/RHEL 7 --------------- 
# systemctl is-enabled auditd
# systemctl status auditd
# systemctl start auditd   [Start]
# systemctl enable auditd  [Enable]

--------------- On CentOS/RHEL 6 --------------- 
# service auditd status
# service auditd start     [Start]
# chkconfig auditd on      [Enable]

Ugbu a, anyị ga-ahụ ka esi ahazi auditd site na iji faịlụ nhazi isi /etc/audit/auditd.conf. Paragraf ebe a na-enye gị ohere ijikwa otú ọrụ ahụ si arụ ọrụ, dị ka ịkọwapụta ebe faịlụ ndekọ, ọnụ ọgụgụ kachasị elu nke faịlụ ndekọ, usoro ndekọ, otu esi emeso diski zuru ezu, ntụgharị log na ọtụtụ nhọrọ ndị ọzọ.

# vi /etc/audit/auditd.conf

Site na mmepụta ihe atụ dị n'okpuru ebe a, parampat bụ nkọwa nke onwe.

Ịghọta Iwu nyocha nyocha

Dịka anyị kwuru na mbụ, auditd na-eji iwu chịkọta ozi akọwapụtara na kernel. Iwu ndị a bụ isi nhọrọ auditctl (lee ibe mmadụ) nke ị nwere ike hazie iwu na faịlụ /etc/audit/rules.d/audit.rules (Na CentOS 6, jiri faịlụ /etc/audit/audit.rules) , nke mere na a na-ebunye ha na mmalite.

Enwere ụdị iwu nyocha atọ ị nwere ike ịkọwa:

• Iwu njikwa - ndị a na-enyere aka ịgbanwe omume sistemụ nyocha yana ole na ole n'ime nhazi ya.
• Iwu sistemụ faịlụ (nke a na-akpọkwa elekere faịlụ) - mee ka nyocha nke ịnweta ụfọdụ faịlụ ma ọ bụ ndekọ.
• Iwu oku sistemu – na-enye ohere ịdebanye oku sistemụ na mmemme ọ bụla mere.

Ugbu a mepee faịlụ nhazi isi maka idezi:

# vi /etc/audit/rules.d/audit.rules

Rịba ama na akụkụ mbụ nke faịlụ a ga-enwerịrị iwu njikwa. Wee tinye iwu nyocha gị (elele faịlụ na iwu oku sistemụ) na ngalaba etiti, na n'ikpeazụ akụkụ ikpeazụ nwere ntọala enweghị mgbanwe nke bụkwa iwu njikwa.

-D		#removes all previous rules
-b  3074	#define buffer size
-f 4		#panic on failure 
-r 120		#create at most 120 audit messages per second

Ị nwere ike ịkọwa elekere faịlụ site na iji syntax a:

-w /path/to/file/or/directory -p permissions -k key_name

Ebe nhọrọ:

• w - a na-eji ezipụta faịlụ ma ọ bụ akwụkwọ ndekọ aha iji lelee.
• p – ikike ịbanye, r – maka ohere ịgụ, w – maka ohere ide, x – maka imezu ohere yana a – maka mgbanwe faịlụ ma ọ bụ àgwà onye isi.
• -k - na-enye gị ohere ịtọ eriri nhọrọ maka ịchọpụta iwu (ma ọ bụ usoro iwu) mepụtara otu ntinye ndekọ.

Iwu ndị a na-enye ohere nyocha iji lelee ihe omume na-eme mgbanwe na faịlụ sistemụ ndị a dị oke mkpa.

-w /etc/passwd -p wa -k passwd_changes
-w /etc/group -p wa -k group_changes
-w /etc/shadow -p wa -k shadow_changes
-w /etc/sudoers -p wa -k sudoers_changes

Ị nwere ike ịtọ iwu oku usoro site na iji ụdị dị n'okpuru:

-a action,filter -S system_call -F field=value -k key_name

ebe:

• omume – nwere ụkpụrụ abụọ nwere ike ime: mgbe niile ma ọ bụ mgbe ọ bụla.
• nyo - ezipụta ihe nzacha dakọtara iwu kernel (ọrụ, ọpụpụ, onye ọrụ na ewepu) ka etinyere na mmemme ahụ.
• Oku sistemu – aha oku sistemụ.
• ubi – ezipụta nhọrọ ndị ọzọ dị ka architecture, PID, GID wdg iji gbanwee iwu.

Nke a bụ ụfọdụ iwu ị nwere ike ịkọwa.

-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
-a always,exit -S sethostname -S setdomainname -k system_locale

Mgbe ahụ tinyezie ntọala enweghị mgbanwe na njedebe nke faịlụ, dịka ọmụmaatụ:

-e 1	#enable auditing
-e 2	#make the configuration immutable -- reboot is required to change audit rules

Otu esi edobe Iwu Auditd Iji auditctl Utility

N'aka nke ọzọ, zipu nhọrọ iji nyochaa mgbe ọ na-agba ọsọ, na-eji auditctl dịka ọmụmaatụ ndị a. Iwu ndị a nwere ike ịkagbu iwu na faịlụ nhazi.

Iji depụta iwu nyocha niile ebugoro ugbu a, nyefee ọkọlọtọ -l:

# auditctl -l

Na-esote, gbalịa ịgbakwunye iwu ole na ole:

# auditctl -w /etc/passwd -p wa -k passwd_changes
# auditctl -w /etc/group -p wa -k group_changes
# auditctl -w /etc/sudoers -p wa -k sudoers_changes
# auditctl -l

A na-edekọ ozi nyocha niile na /var/log/audit/audit.log faịlụ na ndabara. Iji ghọta usoro ntinye log, anyị ga-ebu iwu wee lelee ntinye ndekọ nke emepụtara ka emechara ihe omume dabara na iwu.

Na-eche na anyị nwere ndekọ nchekwa ndabere nzuzo, iwu nyocha a ga-abanye na mbọ ọ bụla iji nweta ma ọ bụ gbanwee ndekọ a:

# auditctl -w /backups/secret_files/ -p rwa -k secret_backup

Ugbu a, na-eji akaụntụ sistemụ ọzọ, gbalịa ịbanye na ndekọ dị n'elu wee mee iwu ls:

$ cd /backups/secret_files/
$ ls

Ntinye log ga-adị ka nke a.

Ihe omume a dị n'elu bụ ụdị ndekọ ndekọ nyocha atọ. Nke mbụ bụ ụdị = SYSCALL:

type=SYSCALL msg=audit(1505784331.849:444): arch=c000003e syscall=257 success=yes exit=3 a0=ffffffffffffff9c a1=8ad5c0 a2=90800 a3=0 items=1 ppid=2191 pid=2680 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts1 ses=3 comm="ls" exe="/usr/bin/ls" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="secret_backup"

Nke abụọ bụ ụdị =CWD.

type=CWD msg=audit(1505784331.849:444):  cwd="/backups/secret_files"

Na nke ikpeazụ bụ ụdị=PATH:

type=PATH msg=audit(1505784331.849:444): item=0 name="." inode=261635 dev=08:01 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:default_t:s0 objtype=NORMAL

Ị nwere ike ịchọta ndepụta zuru ezu nke mpaghara mmemme niile (dị ka msg, arch, ses wdg..) na ihe ha pụtara na Ntụaka Sistemụ Audit.

Nke ahụ bụ ihe niile ugbu a. N'isiokwu na-esonụ, anyị ga-eleba anya ka esi eji ausearch jụọ faịlụ ndekọ ndekọ: anyị ga-akọwa otu esi achọ ozi akọwapụtara na ndekọ ndekọ. Ọ bụrụ na ị nwere ajụjụ ọ bụla, biko kpọtụrụ anyị site na ngalaba nkọwa n'okpuru.