Heim > Betrieb und Instandhaltung > Betrieb und Wartung von Linux > So richten Sie die Systemsicherheitsüberwachung unter Linux ein

So richten Sie die Systemsicherheitsüberwachung unter Linux ein

王林
Freigeben: 2023-07-07 16:47:17
Original
3467 Leute haben es durchsucht

So richten Sie ein Systemsicherheitsaudit unter Linux ein

Im heutigen digitalen Zeitalter ist die Netzwerksicherheit zu einer großen Herausforderung für uns geworden. Um unsere Systeme und Daten vor unbefugtem Zugriff und böswilligen Angriffen zu schützen, müssen wir eine Reihe von Sicherheitsmaßnahmen implementieren. Eine davon besteht darin, die Systemsicherheitsüberwachung zu aktivieren. In diesem Artikel erfahren Sie anhand relevanter Codebeispiele, wie Sie die Systemsicherheitsüberwachung unter Linux einrichten.

Zunächst müssen wir verstehen, was ein Systemsicherheitsaudit ist. Die Systemsicherheitsüberprüfung ist eine Methode zur Überwachung und Aufzeichnung der Systemaktivität, um potenzielle Sicherheitsrisiken und -bedrohungen zu erkennen und zu analysieren. Es kann Anmelde- und Abmeldeereignisse, Datei- und Verzeichniszugriffe, Prozessaktivitäten und andere Systemaktivitätsinformationen aufzeichnen. Durch die Analyse dieser Informationen können wir ungewöhnliches Verhalten rechtzeitig erkennen und entsprechende Maßnahmen ergreifen.

In Linux-Systemen können wir das Auditing-Subsystem (auditd) verwenden, um die Systemsicherheitsüberwachung zu implementieren. Stellen Sie zunächst sicher, dass auf Ihrem System das auditd-Paket installiert ist. Wenn es nicht installiert ist, können Sie es mit dem folgenden Befehl installieren:

sudo apt-get install auditd
Nach dem Login kopieren

Nachdem die Installation abgeschlossen ist, müssen wir auditd konfigurieren, um mit der Aufzeichnung von Systemaktivitäten zu beginnen. Öffnen Sie die Datei /etc/audit/auditd.conf und stellen Sie sicher, dass die folgende Einstellung aktiviert ist: /etc/audit/auditd.conf文件,并确保以下设置被启用:

# 启用系统启动记录
#
# 当auditd服务启动时,会记录一条启动记录
#
# 可以通过`ausearch -m SYSTEM_BOOT`命令检查这条记录
#
# 默认值为no
#
# 将其设置为yes开启记录

AUDITD_ENABLED=yes
Nach dem Login kopieren

接下来,我们需要配置audit规则,以指定我们希望记录的系统活动类型。例如,以下规则将记录登录和注销事件、文件和目录的访问:

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access
Nach dem Login kopieren
Nach dem Login kopieren

将以上规则添加到/etc/audit/rules.d/audit.rules

sudo auditctl -R /etc/audit/rules.d/audit.rules
Nach dem Login kopieren

Als Nächstes müssen wir die Prüfregeln konfigurieren, um die Art der Systemaktivität anzugeben, die wir protokollieren möchten . Die folgenden Regeln zeichnen beispielsweise Anmelde- und Abmeldeereignisse sowie Datei- und Verzeichniszugriffe auf:

sudo auditctl -a always,exit -F arch=b64 -S execve -k login_logout
Nach dem Login kopieren

Fügen Sie die oben genannten Regeln zur Datei /etc/audit/rules.d/audit.rules hinzu, damit sie wirksam werden . Verwenden Sie nach dem Speichern der Datei den folgenden Befehl, um die Prüfregeln neu zu laden:

ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT
Nach dem Login kopieren

Darüber hinaus können wir über den Befehl auditctl auch Laufzeitprüfregeln in Echtzeit hinzufügen, ändern und löschen. Der folgende Befehl überwacht beispielsweise die Anmelde- und Abmeldeereignisse eines Benutzers:

sudo aureport --start recent-hour -x --event login_logout
Nach dem Login kopieren

Um protokollierte Systemaktivitäten anzuzeigen, können wir den Befehl ausearch verwenden. Mit dem folgenden Befehl werden beispielsweise Aufzeichnungen aller Anmelde- und Abmeldeereignisse gefunden:

AUDITD_ENABLED=yes
Nach dem Login kopieren

Um die Analyse und Berichterstattung von Systemaktivitäten zu erleichtern, können wir schließlich das vom Auditd-Tool bereitgestellte Audit-Log-Parsing-Skript verwenden. Diese Skripte können Audit-Protokolle in ein für Menschen lesbares Format konvertieren und verschiedene Filter- und Statistikfunktionen bereitstellen. Mit dem folgenden Befehl werden beispielsweise die Anmelde- und Abmeldeereignisse der letzten Stunde angezeigt:

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access
Nach dem Login kopieren
Nach dem Login kopieren
Durch die oben genannten Schritte können wir eine Systemsicherheitsüberwachung auf dem Linux-System einrichten und die Sicherheit des Systems verbessern, indem wir Systemaktivitäten überwachen und aufzeichnen . Es ist jedoch zu beachten, dass die Systemsicherheitsprüfung nur eine der Sicherheitsmaßnahmen ist und andere Sicherheitsmaßnahmen umfassend eingesetzt werden müssen, um ein vollständiges Sicherheitsschutzsystem einzurichten.

Zusammenfassend lässt sich sagen, dass die Prüfung der Systemsicherheit von entscheidender Bedeutung ist, um unsere Systeme und Daten vor unbefugtem Zugriff und böswilligen Angriffen zu schützen. Dieser Artikel enthält Schritte und Codebeispiele zum Einrichten der Systemsicherheitsüberwachung unter Linux. Wir hoffen, dass er für Sie hilfreich ist.

Referenzcode:

/etc/audit/auditd.conf

rrreee

/etc/audit/rules.d/audit.rules

rrreee

sudo auditctl -a Always,exit -F arch=b64 -S execve -k login_logout

aussearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT🎜🎜sudo aureport --start last-hour -x --event login_logout🎜

Das obige ist der detaillierte Inhalt vonSo richten Sie die Systemsicherheitsüberwachung unter Linux ein. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage