Comment utiliser le journal d'audit d'un système CentOS pour détecter tout accès non autorisé au système

Comment utiliser le journal d'audit du système CentOS pour surveiller les accès non autorisés au système

Avec le développement d'Internet, les problèmes de sécurité des réseaux sont devenus de plus en plus importants et de nombreux administrateurs système ont accordé de plus en plus d'attention à la sécurité du système . En tant que système d'exploitation open source couramment utilisé, la fonction d'audit de CentOS peut aider les administrateurs système à surveiller la sécurité du système, en particulier en cas d'accès non autorisé. Cet article explique comment utiliser le journal d'audit du système CentOS pour surveiller les accès non autorisés au système et fournit des exemples de code.

1. Activez la fonction de journal d'audit
Pour utiliser la fonction de journal d'audit du système CentOS, vous devez d'abord vous assurer que la fonction est activée. Dans le système CentOS, vous pouvez activer la fonction de journal d'audit en modifiant le fichier /etc/audit/auditd.conf. Vous pouvez utiliser la commande suivante pour ouvrir le fichier : /etc/audit/auditd.conf文件来开启审计日志功能。可以使用以下命令打开该文件：

sudo vi /etc/audit/auditd.conf

在该文件中，找到以下两行代码：

#local_events = yes
#write_logs = yes

将这两行代码前的注释符号#去掉，修改为以下形式：

local_events = yes
write_logs = yes

保存并退出文件。然后通过以下命令重启审计服务：

sudo service auditd restart

二、配置审计规则
开启审计日志功能后，接下来需要配置审计规则，以便监测未经授权的访问。可以通过修改/etc/audit/audit.rules文件来配置审计规则。可以使用以下命令打开该文件：

sudo vi /etc/audit/audit.rules

在该文件中，可以添加以下内容作为审计规则：

-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve

这两行规则将监测所有的执行操作。如果只想监测特定的执行操作，可以使用以下命令：

-a exit,always -F arch=b64 -S specific_execve_syscall

其中specific_execve_syscall为特定的执行操作的系统调用名称。可以根据具体需求修改该名称。添加完规则后，保存并退出文件。

三、查看审计日志
当系统收到未经授权的访问时，相关的信息将会被记录在审计日志中。可以使用以下命令查看审计日志：

sudo ausearch -ui 1000

其中1000为用户ID，可以根据具体情况修改。通过该命令可以查看特定用户的审计日志。也可以使用以下命令查看所有的审计日志：

sudo ausearch

以上命令将显示所有的审计日志。

四、增强审计日志功能
为了更好地监测未经授权的访问，还可以进一步增强审计日志功能。可以通过修改/etc/audit/audit.rules

-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session

Dans le fichier, retrouvez les deux lignes de code suivantes :

-w /etc/passwd -p wa -k identity_changes
-w /etc/shadow -p wa -k identity_changes
-w /etc/group -p wa -k identity_changes
-w /etc/gshadow -p wa -k identity_changes
-w /etc/sudoers -p wa -k identity_changes
-w /etc/securetty -p wa -k identity_changes
-w /var/log/messages -p wa -k logfiles

1. Supprimez le symbole de commentaire # avant ces deux lignes de code et modifiez-le au formulaire suivant :

-w /etc/passwd -p rwa -k sensitive_files
-w /etc/shadow -p rwa -k sensitive_files
-w /etc/group -p rwa -k sensitive_files
-w /etc/gshadow -p rwa -k sensitive_files
-w /etc/sudoers -p rwa -k sensitive_files
-w /etc/securetty -p rwa -k sensitive_files

Enregistrez et quittez le fichier. Redémarrez ensuite le service d'audit via la commande suivante :
rrreee
2. 2. Configurez les règles d'audit
Après avoir activé la fonction de journal d'audit, vous devez configurer les règles d'audit pour surveiller les accès non autorisés. Les règles d'audit peuvent être configurées en modifiant le fichier /etc/audit/audit.rules. Le fichier peut être ouvert avec la commande suivante :
rrreee
Dans le fichier, le contenu suivant peut être ajouté comme règle d'audit :
3. rrreee
Ces deux lignes de règles surveilleront toutes les opérations d'exécution. Si vous souhaitez uniquement surveiller des opérations d'exécution spécifiques, vous pouvez utiliser la commande suivante :
rrreee

où special_execve_syscall est le nom de l'appel système de l'opération d'exécution spécifique. Ce nom peut être modifié selon des besoins spécifiques. Après avoir ajouté les règles, enregistrez et quittez le fichier.


3. Consultez le journal d'audit🎜Lorsque le système reçoit un accès non autorisé, les informations pertinentes seront enregistrées dans le journal d'audit. Vous pouvez utiliser la commande suivante pour afficher le journal d'audit : 🎜rrreee🎜où 1000 est l'ID utilisateur, qui peut être modifié en fonction de la situation spécifique. Vous pouvez utiliser cette commande pour afficher le journal d'audit d'un utilisateur spécifique. Vous pouvez également utiliser la commande suivante pour afficher tous les journaux d'audit : 🎜rrreee🎜La commande ci-dessus affichera tous les journaux d'audit. 🎜🎜4. Améliorer la fonction de journal d'audit🎜Afin de mieux surveiller les accès non autorisés, la fonction de journal d'audit peut être encore améliorée. Vous pouvez configurer davantage de règles d'audit en modifiant le fichier /etc/audit/audit.rules. Voici quelques règles d'audit couramment utilisées : 🎜🎜🎜 Surveiller les événements de connexion et de déconnexion : 🎜🎜rrreee🎜🎜 Surveiller les événements de modification de fichiers et de répertoires : 🎜🎜rrreee🎜🎜 Surveiller les événements de lecture de fichiers sensibles : 🎜🎜rrreee🎜 4. Résumé 🎜Ceci L'article explique comment utiliser le journal d'audit du système CentOS pour surveiller les accès non autorisés au système et fournit des exemples de code pertinents. En activant la fonction de journal d'audit, en configurant les règles d'audit et en affichant les journaux d'audit, vous pouvez mieux surveiller la sécurité du système et empêcher les événements d'accès non autorisés. Dans le même temps, en améliorant la fonction de journal d'audit, la sécurité du système peut être encore améliorée. Les administrateurs système peuvent choisir des règles d'audit adaptées à leurs propres systèmes en fonction de besoins spécifiques et vérifier régulièrement les journaux d'audit pour détecter et gérer les événements d'accès non autorisés en temps opportun afin de protéger la sécurité du système. 🎜

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!