So verwenden Sie das Audit-Protokoll des CentOS-Systems, um den unbefugten Zugriff auf das System zu überwachen
Mit der Entwicklung des Internets sind Netzwerksicherheitsprobleme immer wichtiger geworden und viele Systemadministratoren haben der Sicherheit des Systems immer mehr Aufmerksamkeit geschenkt . Als häufig verwendetes Open-Source-Betriebssystem kann die Audit-Funktion von CentOS Systemadministratoren dabei helfen, die Systemsicherheit zu überwachen, insbesondere im Hinblick auf unbefugten Zugriff. In diesem Artikel wird erläutert, wie Sie mithilfe des Prüfprotokolls des CentOS-Systems den unbefugten Zugriff auf das System überwachen und Codebeispiele bereitstellen.
1. Aktivieren Sie die Audit-Log-Funktion.
Um die Audit-Log-Funktion des CentOS-Systems zu verwenden, müssen Sie zunächst sicherstellen, dass die Funktion aktiviert ist. Im CentOS-System können Sie die Audit-Log-Funktion aktivieren, indem Sie die Datei /etc/audit/auditd.conf
ändern. Sie können den folgenden Befehl verwenden, um die Datei zu öffnen: /etc/audit/auditd.conf
文件来开启审计日志功能。可以使用以下命令打开该文件:
sudo vi /etc/audit/auditd.conf
在该文件中,找到以下两行代码:
#local_events = yes #write_logs = yes
将这两行代码前的注释符号#
去掉,修改为以下形式:
local_events = yes write_logs = yes
保存并退出文件。然后通过以下命令重启审计服务:
sudo service auditd restart
二、配置审计规则
开启审计日志功能后,接下来需要配置审计规则,以便监测未经授权的访问。可以通过修改/etc/audit/audit.rules
文件来配置审计规则。可以使用以下命令打开该文件:
sudo vi /etc/audit/audit.rules
在该文件中,可以添加以下内容作为审计规则:
-a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve
这两行规则将监测所有的执行操作。如果只想监测特定的执行操作,可以使用以下命令:
-a exit,always -F arch=b64 -S specific_execve_syscall
其中specific_execve_syscall
为特定的执行操作的系统调用名称。可以根据具体需求修改该名称。添加完规则后,保存并退出文件。
三、查看审计日志
当系统收到未经授权的访问时,相关的信息将会被记录在审计日志中。可以使用以下命令查看审计日志:
sudo ausearch -ui 1000
其中1000
为用户ID,可以根据具体情况修改。通过该命令可以查看特定用户的审计日志。也可以使用以下命令查看所有的审计日志:
sudo ausearch
以上命令将显示所有的审计日志。
四、增强审计日志功能
为了更好地监测未经授权的访问,还可以进一步增强审计日志功能。可以通过修改/etc/audit/audit.rules
-w /var/run/utmp -p wa -k session -w /var/log/wtmp -p wa -k session -w /var/log/btmp -p wa -k session
-w /etc/passwd -p wa -k identity_changes -w /etc/shadow -p wa -k identity_changes -w /etc/group -p wa -k identity_changes -w /etc/gshadow -p wa -k identity_changes -w /etc/sudoers -p wa -k identity_changes -w /etc/securetty -p wa -k identity_changes -w /var/log/messages -p wa -k logfiles
#
vor diesen beiden Codezeilen und ändern Sie es in das folgende Formular: -w /etc/passwd -p rwa -k sensitive_files -w /etc/shadow -p rwa -k sensitive_files -w /etc/group -p rwa -k sensitive_files -w /etc/gshadow -p rwa -k sensitive_files -w /etc/sudoers -p rwa -k sensitive_files -w /etc/securetty -p rwa -k sensitive_files
/etc/audit/audit.rules
konfiguriert werden. Die Datei kann mit dem folgenden Befehl geöffnet werden: wobei special_execve_syscall
der Systemaufrufname des spezifischen Ausführungsvorgangs ist. Dieser Name kann je nach Bedarf geändert werden. Speichern und beenden Sie die Datei, nachdem Sie die Regeln hinzugefügt haben.
1000
die Benutzer-ID ist, die je nach Situation geändert werden kann. Mit diesem Befehl können Sie das Audit-Protokoll eines bestimmten Benutzers anzeigen. Sie können auch den folgenden Befehl verwenden, um alle Audit-Protokolle anzuzeigen: 🎜rrreee🎜Der obige Befehl zeigt alle Audit-Protokolle an. 🎜🎜4. Verbesserung der Audit-Log-Funktion🎜Um unbefugten Zugriff besser zu überwachen, kann die Audit-Log-Funktion weiter verbessert werden. Sie können weitere Prüfregeln konfigurieren, indem Sie die Datei /etc/audit/audit.rules
ändern. Im Folgenden sind einige häufig verwendete Prüfregeln aufgeführt: 🎜🎜🎜 An- und Abmeldeereignisse überwachen: 🎜🎜rrreee🎜🎜 Datei- und Verzeichnisänderungsereignisse überwachen: 🎜🎜rrreee🎜🎜 Leseereignisse für sensible Dateien überwachen: 🎜🎜rrreee🎜 4. Zusammenfassung 🎜This Der Artikel stellt vor, wie Sie das Audit-Protokoll des CentOS-Systems verwenden können, um unbefugten Zugriff auf das System zu überwachen, und stellt relevante Codebeispiele bereit. Durch die Aktivierung der Audit-Log-Funktion, die Konfiguration von Audit-Regeln und die Anzeige von Audit-Logs können Sie die Systemsicherheit besser überwachen und unbefugte Zugriffsereignisse verhindern. Gleichzeitig kann durch die Erweiterung der Audit-Log-Funktion die Sicherheit des Systems weiter verbessert werden. Systemadministratoren können auf der Grundlage spezifischer Anforderungen geeignete Prüfregeln für ihre eigenen Systeme auswählen und die Prüfprotokolle regelmäßig überprüfen, um unberechtigte Zugriffsereignisse rechtzeitig zu erkennen und zu behandeln und so die Systemsicherheit zu gewährleisten. 🎜Das obige ist der detaillierte Inhalt vonSo verwenden Sie CentOS-Systemüberwachungsprotokolle, um unbefugten Zugriff auf das System zu erkennen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!