Comment utiliser le journal d'audit du système CentOS pour surveiller les accès non autorisés au système
Avec le développement d'Internet, les problèmes de sécurité des réseaux sont devenus de plus en plus importants et de nombreux administrateurs système ont accordé de plus en plus d'attention à la sécurité du système . En tant que système d'exploitation open source couramment utilisé, la fonction d'audit de CentOS peut aider les administrateurs système à surveiller la sécurité du système, en particulier en cas d'accès non autorisé. Cet article explique comment utiliser le journal d'audit du système CentOS pour surveiller les accès non autorisés au système et fournit des exemples de code.
1. Activez la fonction de journal d'audit
Pour utiliser la fonction de journal d'audit du système CentOS, vous devez d'abord vous assurer que la fonction est activée. Dans le système CentOS, vous pouvez activer la fonction de journal d'audit en modifiant le fichier /etc/audit/auditd.conf
. Vous pouvez utiliser la commande suivante pour ouvrir le fichier : /etc/audit/auditd.conf
文件来开启审计日志功能。可以使用以下命令打开该文件:
sudo vi /etc/audit/auditd.conf
在该文件中,找到以下两行代码:
#local_events = yes #write_logs = yes
将这两行代码前的注释符号#
去掉,修改为以下形式:
local_events = yes write_logs = yes
保存并退出文件。然后通过以下命令重启审计服务:
sudo service auditd restart
二、配置审计规则
开启审计日志功能后,接下来需要配置审计规则,以便监测未经授权的访问。可以通过修改/etc/audit/audit.rules
文件来配置审计规则。可以使用以下命令打开该文件:
sudo vi /etc/audit/audit.rules
在该文件中,可以添加以下内容作为审计规则:
-a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve
这两行规则将监测所有的执行操作。如果只想监测特定的执行操作,可以使用以下命令:
-a exit,always -F arch=b64 -S specific_execve_syscall
其中specific_execve_syscall
为特定的执行操作的系统调用名称。可以根据具体需求修改该名称。添加完规则后,保存并退出文件。
三、查看审计日志
当系统收到未经授权的访问时,相关的信息将会被记录在审计日志中。可以使用以下命令查看审计日志:
sudo ausearch -ui 1000
其中1000
为用户ID,可以根据具体情况修改。通过该命令可以查看特定用户的审计日志。也可以使用以下命令查看所有的审计日志:
sudo ausearch
以上命令将显示所有的审计日志。
四、增强审计日志功能
为了更好地监测未经授权的访问,还可以进一步增强审计日志功能。可以通过修改/etc/audit/audit.rules
-w /var/run/utmp -p wa -k session -w /var/log/wtmp -p wa -k session -w /var/log/btmp -p wa -k session
-w /etc/passwd -p wa -k identity_changes -w /etc/shadow -p wa -k identity_changes -w /etc/group -p wa -k identity_changes -w /etc/gshadow -p wa -k identity_changes -w /etc/sudoers -p wa -k identity_changes -w /etc/securetty -p wa -k identity_changes -w /var/log/messages -p wa -k logfiles
#
avant ces deux lignes de code et modifiez-le au formulaire suivant : -w /etc/passwd -p rwa -k sensitive_files -w /etc/shadow -p rwa -k sensitive_files -w /etc/group -p rwa -k sensitive_files -w /etc/gshadow -p rwa -k sensitive_files -w /etc/sudoers -p rwa -k sensitive_files -w /etc/securetty -p rwa -k sensitive_files
/etc/audit/audit.rules
. Le fichier peut être ouvert avec la commande suivante : où special_execve_syscall
est le nom de l'appel système de l'opération d'exécution spécifique. Ce nom peut être modifié selon des besoins spécifiques. Après avoir ajouté les règles, enregistrez et quittez le fichier.
1000
est l'ID utilisateur, qui peut être modifié en fonction de la situation spécifique. Vous pouvez utiliser cette commande pour afficher le journal d'audit d'un utilisateur spécifique. Vous pouvez également utiliser la commande suivante pour afficher tous les journaux d'audit : 🎜rrreee🎜La commande ci-dessus affichera tous les journaux d'audit. 🎜🎜4. Améliorer la fonction de journal d'audit🎜Afin de mieux surveiller les accès non autorisés, la fonction de journal d'audit peut être encore améliorée. Vous pouvez configurer davantage de règles d'audit en modifiant le fichier /etc/audit/audit.rules
. Voici quelques règles d'audit couramment utilisées : 🎜🎜🎜 Surveiller les événements de connexion et de déconnexion : 🎜🎜rrreee🎜🎜 Surveiller les événements de modification de fichiers et de répertoires : 🎜🎜rrreee🎜🎜 Surveiller les événements de lecture de fichiers sensibles : 🎜🎜rrreee🎜 4. Résumé 🎜Ceci L'article explique comment utiliser le journal d'audit du système CentOS pour surveiller les accès non autorisés au système et fournit des exemples de code pertinents. En activant la fonction de journal d'audit, en configurant les règles d'audit et en affichant les journaux d'audit, vous pouvez mieux surveiller la sécurité du système et empêcher les événements d'accès non autorisés. Dans le même temps, en améliorant la fonction de journal d'audit, la sécurité du système peut être encore améliorée. Les administrateurs système peuvent choisir des règles d'audit adaptées à leurs propres systèmes en fonction de besoins spécifiques et vérifier régulièrement les journaux d'audit pour détecter et gérer les événements d'accès non autorisés en temps opportun afin de protéger la sécurité du système. 🎜Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!