CentOS システムの監査ログを使用してシステムへの不正アクセスを検出する方法

CentOS システムの監査ログを使用してシステムへの不正アクセスを監視する方法

インターネットの発展に伴い、ネットワーク セキュリティの問題がますます顕著になり、多くのシステム管理者が懸念を強めています。システムのセキュリティに注意してください。一般的に使用されているオープン ソース オペレーティング システムである CentOS の監査機能は、システム管理者がシステム セキュリティ、特に不正アクセスを監視するのに役立ちます。この記事では、CentOS システムの監査ログを使用してシステムへの不正アクセスを監視する方法とコード例を紹介します。

1. 監査ログ機能を有効にする
CentOS システムの監査ログ機能を使用するには、まず監査ログ機能が有効になっていることを確認する必要があります。 CentOS システムでは、/etc/audit/auditd.conf ファイルを変更することで監査ログ機能を有効にできます。次のコマンドを使用してファイルを開くことができます。

sudo vi /etc/audit/auditd.conf

ファイル内で、次の 2 行のコードを見つけます。

#local_events = yes
#write_logs = yes

これらの前にあるコメント記号 # を削除します。 2 行のコードを次の形式に変更します。

local_events = yes
write_logs = yes

ファイルを保存して終了します。次に、次のコマンドを使用して監査サービスを再起動します:

sudo service auditd restart

2. 監査ルールの構成
監査ログ機能をオンにした後、不正アクセスを監視するために監査ルールを構成する必要があります。監査ルールは、/etc/audit/audit.rules ファイルを変更することで構成できます。次のコマンドを使用してファイルを開くことができます。

sudo vi /etc/audit/audit.rules

このファイルでは、次の内容を監査ルールとして追加できます。

-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve

これら 2 行のルールは、すべての実行操作を監視します。特定の実行操作のみを監視する場合は、次のコマンドを使用できます。

-a exit,always -F arch=b64 -S specific_execve_syscall

ここで、specific_execve_syscall は、特定の実行操作のシステム コール名です。この名前は、特定のニーズに応じて変更できます。ルールを追加した後、ファイルを保存して終了します。

3. 監査ログの表示
システムが不正アクセスを受けると、関連情報が監査ログに記録されます。次のコマンドを使用して監査ログを表示できます。

sudo ausearch -ui 1000

ここで、1000 はユーザー ID であり、特定の状況に応じて変更できます。このコマンドを使用すると、特定のユーザーの監査ログを表示できます。次のコマンドを使用して、すべての監査ログを表示することもできます。

sudo ausearch

上記のコマンドは、すべての監査ログを表示します。

4. 監査ログ機能の強化
不正アクセスをより適切に監視するために、監査ログ機能をさらに強化できます。 /etc/audit/audit.rules ファイルを変更することで、さらに多くの監査ルールを構成できます。一般的に使用される監査ルールの一部を次に示します。

1. ログイン イベントとログアウト イベントの監視:

-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session

2. ファイルおよびディレクトリ変更イベントの監視:

-w /etc/passwd -p wa -k identity_changes
-w /etc/shadow -p wa -k identity_changes
-w /etc/group -p wa -k identity_changes
-w /etc/gshadow -p wa -k identity_changes
-w /etc/sudoers -p wa -k identity_changes
-w /etc/securetty -p wa -k identity_changes
-w /var/log/messages -p wa -k logfiles

3. 機密ファイルの読み取りイベントを監視する:

-w /etc/passwd -p rwa -k sensitive_files
-w /etc/shadow -p rwa -k sensitive_files
-w /etc/group -p rwa -k sensitive_files
-w /etc/gshadow -p rwa -k sensitive_files
-w /etc/sudoers -p rwa -k sensitive_files
-w /etc/securetty -p rwa -k sensitive_files

4. 概要
この記事では、CentOS システムの監査ログを使用してシステムへの不正アクセスを監視する方法を紹介します。 、および関連するコード例を示します。監査ログ機能を有効にし、監査ルールを構成し、監査ログを表示することにより、システム セキュリティをより適切に監視し、不正アクセス イベントを防止できます。同時に監査ログ機能を強化することで、システムのセキュリティをさらに向上させることができます。システム管理者は、特定のニーズに基づいて自社のシステムに適した監査ルールを選択し、監査ログを定期的にチェックして、不正なアクセス イベントを適時に検出して処理し、システムのセキュリティを保護できます。

以上がCentOS システムの監査ログを使用してシステムへの不正アクセスを検出する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。