1案例1:部署audit监控文件

1.1问题

本案例要求熟悉audit书籍工具的基本使用,完成以下任务操作:

  1. 使用audit监控/etc/ssh/sshd_config
  2. 当该文件发生任何变化即记录日志
  3. 通过手动和ausearch工具查看日志内容
1.2方案

审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。
审计能够记录的日志内容:

  • a)日期与事件以及事件的结果
  • b)触发事件的用户
  • c)所有认证机制的使用都可以被记录,如ssh等
  • d)对关键数据文件的修改行为等都可以被记录
1.3步骤

实现此案例需要按照如下步骤进行。

步骤一:配置audit审计系统

1)安装软件包,查看配置文件(确定审计日志的位置)

[root@proxy ~]# yum -y  install  audit                //安装软件包
[root@proxy ~]# cat /etc/audit/auditd.conf            //查看配置文件,确定日志位置
log_file = /var/log/audit/audit.log                //日志文件路径
[root@proxy ~]# systemctl start auditd                //启动服务
[root@proxy ~]# systemctl enable auditd            //设置开机自启

2)配置审计规则
可以使用auditctl命令控制审计系统并设置规则决定哪些行为会被记录日志。
语法格式如下:

[root@proxy ~]# auditctl  -s                        //查询状态
[root@proxy ~]# auditctl  -l                        //查看规则
[root@proxy ~]# auditctl  -D                        //删除所有规则

定义临时文件系统规则:

#语法格式:auditctl  -w  path  -p  permission  -k  key_name
# path为需要审计的文件或目录
# 权限可以是r,w,x,a(文件或目录的属性发生变化)
# Key_name为可选项,方便识别哪些规则生成特定的日志项
[root@proxy ~]# auditctl  -w  /etc/passwd  -p wa  -k  passwd_change
//设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
 [root@proxy ~]# auditctl  -w  /etc/selinux/  -p wa  -k  selinux_change
//设置规则,监控/etc/selinux目录
 [root@proxy ~]# auditctl  -w  /usr/sbin/fdisk  -p x  -k  disk_partition
//设置规则,监控fdisk程序
[root@proxy ~]# auditclt  -w  /etc/ssh/sshd_conf  -p warx  -k  sshd_config
//设置规则,监控sshd_conf文件

如果需要创建永久审计规则,则需要修改规则配置文件:

[root@proxy ~]# vim  /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_changes
-w /usr/sbin/fdisk -p x -k partition_disks

步骤二:查看分析日志

1)动手查看日志
查看SSH的主配置文件/etc/ssh/sshd_conf,查看audit日志信息

[root@proxy ~]# tailf  /var/log/audit/audit.log
type=SYSCALL msg=audit(1517557590.644:229228): arch=c000003e 
syscall=2 success=yes exit=3 
a0=7fff71721839 a1=0 a2=1fffffffffff0000 a3=7fff717204c0 
items=1 ppid=7654 pid=7808 auid=0 uid=0 gid=0 euid=0 suid=0 
fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="cat" 
exe="/usr/bin/cat" 
subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"
.. ..
#内容分析
# type为类型
# msg为(time_stamp:ID),时间是date +%s(1970-1-1至今的秒数)
# arch=c000003e,代表x86_64(16进制)
# success=yes/no,事件是否成功
# a0-a3是程序调用时前4个参数,16进制编码了
# ppid父进程ID,如bash,pid进程ID,如cat命令
# auid是审核用户的id,su - test, 依然可以追踪su前的账户
# uid,gid用户与组
# tty:从哪个终端执行的命令
# comm="cat"            用户在命令行执行的指令
# exe="/bin/cat"        实际程序的路径
# key="sshd_config"    管理员定义的策略关键字key
# type=CWD        用来记录当前工作目录
# cwd="/home/username"
# type=PATH
# ouid(owner's user id)    对象所有者id
# guid(owner's groupid)    对象所有者id

2)通过工具搜索日志
系统提供的ausearch命令可以方便的搜索特定日志,默认该程序会搜索/var/log/audit/audit.log,ausearch options -if file_name可以指定文件名。

[root@proxy ~]# ausearch -k sshd_config -i    
//根据key搜索日志,-i选项表示以交互式方式操作