Cara menggunakan log audit sistem CentOS untuk memantau capaian yang tidak dibenarkan kepada sistem
Dengan perkembangan Internet, isu keselamatan rangkaian telah menjadi semakin ketara, dan banyak pentadbir sistem telah memberi perhatian yang lebih kepada keselamatan sistem . Sebagai sistem pengendalian sumber terbuka yang biasa digunakan, fungsi audit CentOS boleh membantu pentadbir sistem memantau keselamatan sistem, terutamanya untuk akses tanpa kebenaran. Artikel ini akan memperkenalkan cara menggunakan log audit sistem CentOS untuk memantau akses tanpa kebenaran kepada sistem dan menyediakan contoh kod.
1. Hidupkan fungsi log audit
Untuk menggunakan fungsi log audit sistem CentOS, anda perlu terlebih dahulu memastikan fungsi tersebut dihidupkan. Dalam sistem CentOS, anda boleh mendayakan fungsi log audit dengan mengubah suai fail /etc/audit/auditd.conf
. Anda boleh menggunakan arahan berikut untuk membuka fail: /etc/audit/auditd.conf
文件来开启审计日志功能。可以使用以下命令打开该文件:
sudo vi /etc/audit/auditd.conf
在该文件中,找到以下两行代码:
#local_events = yes #write_logs = yes
将这两行代码前的注释符号#
去掉,修改为以下形式:
local_events = yes write_logs = yes
保存并退出文件。然后通过以下命令重启审计服务:
sudo service auditd restart
二、配置审计规则
开启审计日志功能后,接下来需要配置审计规则,以便监测未经授权的访问。可以通过修改/etc/audit/audit.rules
文件来配置审计规则。可以使用以下命令打开该文件:
sudo vi /etc/audit/audit.rules
在该文件中,可以添加以下内容作为审计规则:
-a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve
这两行规则将监测所有的执行操作。如果只想监测特定的执行操作,可以使用以下命令:
-a exit,always -F arch=b64 -S specific_execve_syscall
其中specific_execve_syscall
为特定的执行操作的系统调用名称。可以根据具体需求修改该名称。添加完规则后,保存并退出文件。
三、查看审计日志
当系统收到未经授权的访问时,相关的信息将会被记录在审计日志中。可以使用以下命令查看审计日志:
sudo ausearch -ui 1000
其中1000
为用户ID,可以根据具体情况修改。通过该命令可以查看特定用户的审计日志。也可以使用以下命令查看所有的审计日志:
sudo ausearch
以上命令将显示所有的审计日志。
四、增强审计日志功能
为了更好地监测未经授权的访问,还可以进一步增强审计日志功能。可以通过修改/etc/audit/audit.rules
-w /var/run/utmp -p wa -k session -w /var/log/wtmp -p wa -k session -w /var/log/btmp -p wa -k session
-w /etc/passwd -p wa -k identity_changes -w /etc/shadow -p wa -k identity_changes -w /etc/group -p wa -k identity_changes -w /etc/gshadow -p wa -k identity_changes -w /etc/sudoers -p wa -k identity_changes -w /etc/securetty -p wa -k identity_changes -w /var/log/messages -p wa -k logfiles
-w /etc/passwd -p rwa -k sensitive_files -w /etc/shadow -p rwa -k sensitive_files -w /etc/group -p rwa -k sensitive_files -w /etc/gshadow -p rwa -k sensitive_files -w /etc/sudoers -p rwa -k sensitive_files -w /etc/securetty -p rwa -k sensitive_files
/etc/audit/audit.rules
. Fail boleh dibuka dengan arahan berikut: di mana specific_execve_syscall
ialah nama panggilan sistem bagi operasi pelaksanaan tertentu. Nama ini boleh diubah suai mengikut keperluan tertentu. Selepas menambah peraturan, simpan dan keluar fail.
1000
ialah ID pengguna, yang boleh diubah suai mengikut situasi tertentu. Anda boleh menggunakan arahan ini untuk melihat log audit pengguna tertentu. Anda juga boleh menggunakan arahan berikut untuk melihat semua log audit: 🎜rrreee🎜Arahan di atas akan memaparkan semua log audit. 🎜🎜4. Meningkatkan fungsi log audit🎜Untuk memantau capaian yang tidak dibenarkan dengan lebih baik, fungsi log audit boleh dipertingkatkan lagi. Anda boleh mengkonfigurasi lebih banyak peraturan audit dengan mengubah suai fail /etc/audit/audit.rules
. Berikut adalah beberapa peraturan audit yang biasa digunakan: 🎜🎜🎜 Pantau acara log masuk dan log keluar: 🎜🎜rrreee🎜🎜 Pantau peristiwa perubahan fail dan direktori: 🎜🎜rrreee🎜🎜 Pantau peristiwa pembacaan fail sensitif: 🎜🎜 rrreee ini. artikel memperkenalkan cara menggunakan log audit sistem CentOS untuk memantau akses tanpa kebenaran kepada sistem dan menyediakan contoh kod yang berkaitan. Dengan mendayakan fungsi log audit, mengkonfigurasi peraturan audit dan melihat log audit, anda boleh memantau keselamatan sistem dengan lebih baik dan menghalang peristiwa akses tanpa kebenaran. Pada masa yang sama, dengan mempertingkatkan fungsi log audit, keselamatan sistem boleh dipertingkatkan lagi. Pentadbir sistem boleh memilih peraturan audit yang sesuai untuk sistem mereka sendiri berdasarkan keperluan khusus, dan menyemak log audit dengan kerap untuk mengesan dan mengendalikan peristiwa capaian yang tidak dibenarkan tepat pada masanya untuk melindungi keselamatan sistem. 🎜Atas ialah kandungan terperinci Cara menggunakan log audit sistem CentOS untuk mengesan akses tanpa kebenaran kepada sistem. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!