Maison > Opération et maintenance > exploitation et maintenance Linux > Comment configurer l'audit de sécurité du système sous Linux

Comment configurer l'audit de sécurité du système sous Linux

王林
Libérer: 2023-07-07 16:47:17
original
3489 Les gens l'ont consulté

Comment mettre en place un audit de sécurité système sous Linux

À l'ère numérique d'aujourd'hui, la sécurité des réseaux est devenue un défi majeur auquel nous sommes confrontés. Pour protéger nos systèmes et nos données contre les accès non autorisés et les attaques malveillantes, nous devons mettre en œuvre une série de mesures de sécurité. L’un d’eux consiste à activer l’audit de sécurité du système. Cet article vous expliquera comment configurer l'audit de sécurité du système sous Linux, avec des exemples de code pertinents.

Tout d’abord, nous devons comprendre ce qu’est un audit de sécurité du système. L'audit de sécurité du système est une méthode de surveillance et d'enregistrement de l'activité du système afin de détecter et d'analyser les risques et menaces potentiels pour la sécurité. Il peut enregistrer les événements de connexion et de déconnexion, l'accès aux fichiers et aux répertoires, les activités de processus et d'autres informations sur l'activité du système. En analysant ces informations, nous pouvons détecter à temps les comportements anormaux et prendre les mesures appropriées.

Dans les systèmes Linux, nous pouvons utiliser le sous-système d'audit (auditd) pour implémenter l'audit de sécurité du système. Tout d’abord, assurez-vous que le package auditd est installé sur votre système. S'il n'est pas installé, vous pouvez l'installer à l'aide de la commande suivante :

sudo apt-get install auditd
Copier après la connexion

Une fois l'installation terminée, nous devons configurer auditd pour démarrer l'enregistrement des activités du système. Ouvrez le fichier /etc/audit/auditd.conf et assurez-vous que les paramètres suivants sont activés : /etc/audit/auditd.conf文件,并确保以下设置被启用:

# 启用系统启动记录
#
# 当auditd服务启动时,会记录一条启动记录
#
# 可以通过`ausearch -m SYSTEM_BOOT`命令检查这条记录
#
# 默认值为no
#
# 将其设置为yes开启记录

AUDITD_ENABLED=yes
Copier après la connexion

接下来,我们需要配置audit规则,以指定我们希望记录的系统活动类型。例如,以下规则将记录登录和注销事件、文件和目录的访问:

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access
Copier après la connexion
Copier après la connexion

将以上规则添加到/etc/audit/rules.d/audit.rules

sudo auditctl -R /etc/audit/rules.d/audit.rules
Copier après la connexion

Ensuite, nous devons configurer les règles d'audit pour spécifier le type d'activité du système que nous souhaitons enregistrer. . Par exemple, les règles suivantes enregistreront les événements de connexion et de déconnexion, l'accès aux fichiers et aux répertoires :

sudo auditctl -a always,exit -F arch=b64 -S execve -k login_logout
Copier après la connexion

Ajoutez les règles ci-dessus au fichier /etc/audit/rules.d/audit.rules pour prendre effet. . Après avoir enregistré le fichier, utilisez la commande suivante pour recharger les règles d'audit :

ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT
Copier après la connexion

De plus, nous pouvons également ajouter, modifier et supprimer des règles d'audit d'exécution en temps réel via la commande auditctl. Par exemple, la commande suivante surveillera les événements de connexion et de déconnexion d'un utilisateur :

sudo aureport --start recent-hour -x --event login_logout
Copier après la connexion

Pour afficher l'activité système enregistrée, nous pouvons utiliser la commande ausearch. Par exemple, la commande suivante trouvera les enregistrements de tous les événements de connexion et de déconnexion :

AUDITD_ENABLED=yes
Copier après la connexion

Enfin, afin de faciliter l'analyse et le reporting des activités du système, nous pouvons utiliser le script d'analyse du journal d'audit fourni par l'outil auditd. Ces scripts peuvent convertir les journaux d'audit dans un format lisible par l'homme et fournir diverses fonctions de filtrage et statistiques. Par exemple, la commande suivante affichera les événements de connexion et de déconnexion au cours de la dernière heure :

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access
Copier après la connexion
Copier après la connexion
Grâce aux étapes ci-dessus, nous pouvons configurer un audit de sécurité du système sur le système Linux et améliorer la sécurité du système en surveillant et en enregistrant les activités du système. . Cependant, il convient de noter que l'audit de sécurité du système n'est qu'une des mesures de sécurité et que d'autres mesures de sécurité doivent être utilisées de manière globale pour établir un système de protection de sécurité complet.

En conclusion, l'audit de sécurité des systèmes est crucial pour protéger nos systèmes et nos données contre les accès non autorisés et les attaques malveillantes. Cet article fournit des étapes et des exemples de code pour configurer l'audit de sécurité du système sous Linux. Nous espérons qu'il vous sera utile.

Code de référence :

/etc/audit/auditd.conf

rrreee

/etc/audit/rules.d/audit.rules

rrreee

sudo auditctl -a toujours,exit -F arch=b64 -S execve -k login_logout

ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT🎜🎜sudo aureport --start recent-hour -x --event login_logout🎜

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal