So richten Sie die Systemsicherheitsüberwachung unter Linux ein

So richten Sie ein Systemsicherheitsaudit unter Linux ein

Im heutigen digitalen Zeitalter ist die Netzwerksicherheit zu einer großen Herausforderung für uns geworden. Um unsere Systeme und Daten vor unbefugtem Zugriff und böswilligen Angriffen zu schützen, müssen wir eine Reihe von Sicherheitsmaßnahmen implementieren. Eine davon besteht darin, die Systemsicherheitsüberwachung zu aktivieren. In diesem Artikel erfahren Sie anhand relevanter Codebeispiele, wie Sie die Systemsicherheitsüberwachung unter Linux einrichten.

Zunächst müssen wir verstehen, was ein Systemsicherheitsaudit ist. Die Systemsicherheitsüberprüfung ist eine Methode zur Überwachung und Aufzeichnung der Systemaktivität, um potenzielle Sicherheitsrisiken und -bedrohungen zu erkennen und zu analysieren. Es kann Anmelde- und Abmeldeereignisse, Datei- und Verzeichniszugriffe, Prozessaktivitäten und andere Systemaktivitätsinformationen aufzeichnen. Durch die Analyse dieser Informationen können wir ungewöhnliches Verhalten rechtzeitig erkennen und entsprechende Maßnahmen ergreifen.

In Linux-Systemen können wir das Auditing-Subsystem (auditd) verwenden, um die Systemsicherheitsüberwachung zu implementieren. Stellen Sie zunächst sicher, dass auf Ihrem System das auditd-Paket installiert ist. Wenn es nicht installiert ist, können Sie es mit dem folgenden Befehl installieren:

sudo apt-get install auditd

Nachdem die Installation abgeschlossen ist, müssen wir auditd konfigurieren, um mit der Aufzeichnung von Systemaktivitäten zu beginnen. Öffnen Sie die Datei /etc/audit/auditd.conf und stellen Sie sicher, dass die folgende Einstellung aktiviert ist: /etc/audit/auditd.conf文件，并确保以下设置被启用：

# 启用系统启动记录
#
# 当auditd服务启动时，会记录一条启动记录
#
# 可以通过`ausearch -m SYSTEM_BOOT`命令检查这条记录
#
# 默认值为no
#
# 将其设置为yes开启记录

AUDITD_ENABLED=yes

接下来，我们需要配置audit规则，以指定我们希望记录的系统活动类型。例如，以下规则将记录登录和注销事件、文件和目录的访问：

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access

将以上规则添加到/etc/audit/rules.d/audit.rules

sudo auditctl -R /etc/audit/rules.d/audit.rules

Als Nächstes müssen wir die Prüfregeln konfigurieren, um die Art der Systemaktivität anzugeben, die wir protokollieren möchten . Die folgenden Regeln zeichnen beispielsweise Anmelde- und Abmeldeereignisse sowie Datei- und Verzeichniszugriffe auf:

sudo auditctl -a always,exit -F arch=b64 -S execve -k login_logout

Fügen Sie die oben genannten Regeln zur Datei /etc/audit/rules.d/audit.rules hinzu, damit sie wirksam werden . Verwenden Sie nach dem Speichern der Datei den folgenden Befehl, um die Prüfregeln neu zu laden:

ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT

Darüber hinaus können wir über den Befehl auditctl auch Laufzeitprüfregeln in Echtzeit hinzufügen, ändern und löschen. Der folgende Befehl überwacht beispielsweise die Anmelde- und Abmeldeereignisse eines Benutzers:

sudo aureport --start recent-hour -x --event login_logout

Um protokollierte Systemaktivitäten anzuzeigen, können wir den Befehl ausearch verwenden. Mit dem folgenden Befehl werden beispielsweise Aufzeichnungen aller Anmelde- und Abmeldeereignisse gefunden:

AUDITD_ENABLED=yes

Um die Analyse und Berichterstattung von Systemaktivitäten zu erleichtern, können wir schließlich das vom Auditd-Tool bereitgestellte Audit-Log-Parsing-Skript verwenden. Diese Skripte können Audit-Protokolle in ein für Menschen lesbares Format konvertieren und verschiedene Filter- und Statistikfunktionen bereitstellen. Mit dem folgenden Befehl werden beispielsweise die Anmelde- und Abmeldeereignisse der letzten Stunde angezeigt:

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access

Durch die oben genannten Schritte können wir eine Systemsicherheitsüberwachung auf dem Linux-System einrichten und die Sicherheit des Systems verbessern, indem wir Systemaktivitäten überwachen und aufzeichnen . Es ist jedoch zu beachten, dass die Systemsicherheitsprüfung nur eine der Sicherheitsmaßnahmen ist und andere Sicherheitsmaßnahmen umfassend eingesetzt werden müssen, um ein vollständiges Sicherheitsschutzsystem einzurichten.

Zusammenfassend lässt sich sagen, dass die Prüfung der Systemsicherheit von entscheidender Bedeutung ist, um unsere Systeme und Daten vor unbefugtem Zugriff und böswilligen Angriffen zu schützen. Dieser Artikel enthält Schritte und Codebeispiele zum Einrichten der Systemsicherheitsüberwachung unter Linux. Wir hoffen, dass er für Sie hilfreich ist.

Referenzcode:

/etc/audit/auditd.conf

rrreee

/etc/audit/rules.d/audit.rules

rrreee

sudo auditctl -a Always,exit -F arch=b64 -S execve -k login_logout

aussearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT🎜🎜sudo aureport --start last-hour -x --event login_logout🎜

Das obige ist der detaillierte Inhalt vonSo richten Sie die Systemsicherheitsüberwachung unter Linux ein. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!