Шта је Аудитд?
Аудитд је компонента корисничког простора Линук система ревизије. Аудитд је скраћеница од Линук Аудит Даемон. У Линуку се даемон назива услугом која ради у позадини, а на крају апликационе услуге је приложен знак „д“ док ради у позадини. Посао аудитд-а је прикупљање и уписивање датотека дневника ревизије на диск као позадинска услуга
Зашто користити аудитд?
Ова Линук услуга пружа кориснику аспект безбедносне провере у Линуку. Евиденције које сакупља и чува аудитд су различите активности које корисник обавља у Линук окружењу и ако постоји случај да било који корисник жели да се распита шта други корисници раде у корпоративном или вишекорисничком окружењу, тај корисник може добити приступ овој врсти информација у поједностављеном и умањеном облику, који су познати као евиденције. Такође, ако је дошло до неуобичајене активности на корисниковом систему, рецимо да је његов систем угрожен, тада корисник може пратити и видети како је његов систем угрожен, а то такође може у многим случајевима помоћи у реаговању на инцидент.
Основе ревизије
Корисник може претраживати сачуване дневнике по аудитд Користећи аусеарцх и аурепорт комуналије. Правила ревизије налазе се у директоријуму, / етц / аудит / аудит.правила који се могу читати аудитцтл на почетку. Такође, ова правила се такође могу изменити помоћу аудитцтл. На располагању је датотека за конфигурацију аудитд / етц / аудит / аудитд.цонф.
Инсталација
У Линук дистрибуцијама заснованим на дебиану, следећа наредба се може користити за инсталирање аудитд-а, ако већ није инсталиран:
[заштићена е-поштом]: ~ $ судо апт-гет инсталл аудитд аудиспд-плугинсОсновна команда за аудитд:
За почетак ревизије:
$ сервице аудитд стартЗа заустављање аудита:
$ сервице аудитд стопЗа поновно покретање аудитд:
$ сервице аудитд рестартЗа преузимање статуса аудита:
$ сервице аудитд статусЗа условно поновно покретање аудитд:
$ сервице аудитд цондрестартЗа поновно учитавање услуге аудитд:
$ сервице аудитд поновно учитавањеЗа ротирање дневника ревизије:
$ сервице аудитд ротирајЗа проверу излаза Аудит-ових конфигурација:
$ цхкцонфиг --лист аудитдКоје се информације могу евидентирати у евиденцијама?
- Временски жиг и информације о догађају као што су врста и исход догађаја.
- Догађај је покренут заједно са корисником који га је покренуо.
- Промене у ревизији конфигурационих датотека.
- Покушаји приступа датотекама евиденције ревизије.
- Сви догађаји аутентификације са аутентификованим корисницима као што су ссх итд.
- Промене осетљивих датотека или база података, као што су лозинке у / етц / пассвд.
- Долазне и одлазне информације из и у систем.
Остале услужне службе повезане са ревизијом:
У наставку су дати неки други важни услужни програми који се односе на ревизију. Детаљно ћемо размотрити само неке од њих, који се обично користе.
аудитцтл:
Овај услужни програм користи се за добивање статуса понашања ревизије, постављања, промене или ажурирања конфигурација ревизије. Синтакса за употребу аудитцтл-а је:
аудитцтл [опције]Следе опције које се најчешће користе:
-в
Додавање сата у датотеку, што значи да ће ревизија припазити на њу и у евиденцију додати активности корисника повезане са том датотеком.
-к
За унос кључа или имена филтера у наведену конфигурацију.
-стр
Да бисте додали филтер на основу дозволе датотека.
-С
Да спречи хватање дневника за конфигурацију.
-а
Да бисте добили све резултате за наведени улаз ове опције.
На пример, да бисте додали сат у датотеку / етц / схадов са филтрираном кључном речи „схадов-кеи“ и са дозволама као „рвка“:
$ аудитцтл -в / етц / схадов -к схадов-филе -п рвкааурепорт:
Овај услужни програм користи се за генерирање резимеа извјештаја дневника ревизије из евидентираних дневника. Улаз у извештај такође могу бити необрађени подаци евиденције који се достављају у аурепорт користећи стдин. Основна синтакса за употребу аурепорта је:
аурепорт [опције]Неке од основних и најчешће коришћених опција аурепорта су следеће:
-к
Да генерише извештај на основу кључева наведених у правилима или конфигурацијама ревизије.
-и
Да би се приказале текстуалне информације, а не нумеричке информације попут ид-а, као што је приказивање корисничког имена уместо корисничког броја.
-ау
Да би се генерисао извештај о покушајима потврде идентитета за све кориснике.
-л
Да генерише извештај који приказује информације о пријављивању корисника.
Аусеарцх:
Овај услужни програм је алат за претраживање дневника или догађаја ревизије. Резултати претраге се приказују заузврат, на основу различитих упита за претрагу. Као и аурепорт, ови упити за претрагу такође могу бити необрађени подаци дневника који се доводе до претраживача помоћу стдина. По дефаулту, аусеарцх поставља упит на евиденције смештене / вар / лог / аудит / аудит.Пријава, која се може директно приказати или јој се може приступити као наредба за куцање као доле:
$ цат / вар / лог / аудит / аудит.ПријаваЈедноставна синтакса за употребу претраживача је:
аусеарцх [опције]Такође, постоје одређене заставе које се могу користити са наредбом аусеарцх, неке од уобичајених заставица су:
-стр
Ова застава се користи за унос ИД-ова процеса за претраживање упита за евиденцију, нпр.г., аусеарцх -п 6171.
-м
Ова застава се користи за тражење одређених низова у датотекама дневника, нпр.г., аусеарцх -м УСЕР_ЛОГИН.
-св
Ова опција је вредност успеха ако корисник тражи вредност успеха за одређени део евиденције. Ова застава се често користи са -м заставом као што је аусеарцх -м УСЕР_ЛОГИН -св бр.
-уа
Ова опција се користи за унос филтера корисничког имена за упит за претрагу, нпр.г., аусеарцх -уа корен.
-тс
Ова опција се користи за унос филтера временске ознаке за упит за претрагу, нпр.г., аусеарцх -тс јуче.
аудитспд:
Овај услужни програм користи се као демон за мултиплексирање догађаја.
аутраце:
Овај услужни програм користи се за тражење бинарних датотека помоћу компонената ревизије.
ауласт:
Овај услужни програм приказује најновије активности забележене у евиденцијама.
ауластлог:
Овај услужни програм приказује најновије информације о пријављивању свих корисника или датог корисника.
аусисцалл:
Овај услужни програм омогућава мапирање имена и бројева системских позива.
аувирт:
Овај услужни програм приказује информације о ревизији посебно за виртуелне машине.
Закључно
Иако је Линук Аудитинг релативно напредна тема за нетехничке Линук кориснике, али омогућавање корисницима да сами одлуче, Линук нуди. За разлику од других оперативних система, Линук оперативни системи имају тенденцију да задрже своје кориснике у контроли свог сопственог окружења. Такође као почетник или нетехнички корисник, увек треба учити за свој раст. Надам се да вам је овај чланак помогао да научите нешто ново и корисно.