User Tools
система_linux_auditing
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
система_linux_auditing [2013/05/22 13:50] 127.0.0.1 внешнее изменение |
система_linux_auditing [2025/10/19 08:49] (current) val [Система Linux Auditing] |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| ====== Система Linux Auditing ====== | ====== Система Linux Auditing ====== | ||
| - | [[http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html]] | + | * [[http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html|Linux audit files to see who made changes to a file]] |
| + | * [[http://www.xakep.ru/post/54897/|Аудит системных событий в Linux]] | ||
| - | Сценарий: отслеживаем события чтения/записи/добавления в файлы passwd и shadow | + | * [[https://encyclopedia.kaspersky.ru/glossary/security-operations-center-soc/|Центр мониторинга информационной безопасности (Security Operations Center, SOC)]] |
| + | Сценарий: отслеживаем события чтения/записи/добавления в файлы passwd и shadow | ||
| ===== Установка и запуск системы аудита ===== | ===== Установка и запуск системы аудита ===== | ||
| <code> | <code> | ||
| - | # apt-get install auditd | + | # apt install auditd |
| </code> | </code> | ||
| ===== Настройка правил аудита событий ===== | ===== Настройка правил аудита событий ===== | ||
| Line 14: | Line 16: | ||
| # auditctl -w /etc/passwd -p rwa -k passwords-files | # auditctl -w /etc/passwd -p rwa -k passwords-files | ||
| + | # auditctl -w /etc/shadow -p rwa -k passwords-files | ||
| + | |||
| + | # auditctl -l | ||
| # cat /etc/audit/audit.rules | # cat /etc/audit/audit.rules | ||
| + | ubuntu24/debian12# cat /etc/audit/rules.d/audit.rules | ||
| </code><code> | </code><code> | ||
| ... | ... | ||
| Line 21: | Line 27: | ||
| -w /etc/shadow -p rwa -k passwords-files | -w /etc/shadow -p rwa -k passwords-files | ||
| </code><code> | </code><code> | ||
| - | # /etc/init.d/auditd restart | + | # service auditd restart |
| </code> | </code> | ||
| ===== Генерация событий ===== | ===== Генерация событий ===== | ||
| <code> | <code> | ||
| - | # touch /etc/passwd | + | user1$ touch /etc/passwd |
| - | # cat /etc/shadow | + | user1$ cat /etc/shadow |
| </code> | </code> | ||
| ===== Поиск событий ===== | ===== Поиск событий ===== | ||
| <code> | <code> | ||
| - | # cat /var/log/audit/audit.log | + | # cat /var/log/audit/audit.log |
| # ausearch -f /etc/passwd | # ausearch -f /etc/passwd | ||
| # ausearch -k passwords-files | # ausearch -k passwords-files | ||
| + | </code> | ||
| + | |||
| + | ===== Дополнительные материалы ===== | ||
| + | |||
| + | ==== Рекомендованный набор правил ==== | ||
| + | <code> | ||
| + | # cat /etc/audit/rules.d/soc.rules | ||
| + | </code><code> | ||
| + | # Аудит входа/выхода пользователей | ||
| + | -w /var/log/faillog -p wa -k logins | ||
| + | -w /var/run/faillock -p wa -k logins | ||
| + | |||
| + | # Контроль за изменениями пользователей и групп | ||
| + | -w /etc/passwd -p wa -k usermod | ||
| + | -w /etc/group -p wa -k groupmod | ||
| + | -w /etc/shadow -p wa -k shadowmod | ||
| + | -w /etc/gshadow -p wa -k gshadowmod | ||
| + | |||
| + | # Контроль за добавление/удаление пользователей | ||
| + | -w /usr/sbin/useradd -p x -k user_add | ||
| + | -w /usr/sbin/userdel -p x -k user_del | ||
| + | -w /usr/sbin/usermod -p x -k user_mod | ||
| + | |||
| + | # Аудит изменений прав доступа к файлам | ||
| + | -a always,exit -F arch=b64 -S chmod,fchmod,fchmodat -F auid>=1000 -F auid!=4294967295 -k perm_mod | ||
| + | -a always,exit -F arch=b32 -S chmod,fchmod,fchmodat -F auid>=1000 -F auid!=4294967295 -k perm_mod | ||
| + | |||
| + | # Аудит использования команд sudo | ||
| + | -a always,exit -F path=/usr/bin/sudo -F perm=x -k sudo_usage | ||
| + | |||
| + | # контроль за изменением sudoers | ||
| + | -w /etc/sudoers -p wa -k priv_change | ||
| + | -w /etc/sudoers.d/ -p wa -k priv_change | ||
| + | |||
| + | # Аудит изменения времени системы | ||
| + | -a always,exit -F arch=b64 -S adjtimex,settimeofday -k time_change | ||
| + | -a always,exit -F arch=b32 -S adjtimex,settimeofday -k time_change | ||
| + | |||
| + | # контроль за изменениями /etc/passwd, /etc/shadow, /etc/group и /etc/gshadow | ||
| + | -w /etc/passwd -p wa -k identity | ||
| + | -w /etc/shadow -p wa -k identity | ||
| + | -w /etc/group -p wa -k identity | ||
| + | |||
| + | # Контроль за изменениями системных конфигурационных файлов | ||
| + | -w /etc/sysctl.conf -p wa -k sysctl | ||
| + | -w /etc/hosts -p wa -k network | ||
| + | -w /etc/resolv.conf -p wa -k dns | ||
| + | -w /etc/gshadow -p wa -k identity | ||
| + | |||
| + | # Контроль за изменениями изменение правил iptables | ||
| + | |||
| + | -w /sbin/iptables -p x -k firewall | ||
| + | -w /sbin/ip6tables -p x -k firewall | ||
| + | -w /usr/sbin/nft -p x -k firewall | ||
| + | -w /etc/firewalld -p wa -k firewall | ||
| + | |||
| + | # Контроль за изменением файлов SSH | ||
| + | -w /etc/ssh/sshd_config -p wa -k sshd_config | ||
| + | |||
| + | # Логирование команд, выполненных с правами root | ||
| + | -a exit,always -F arch=b64 -F euid=0 -S execve -k ssh_commands | ||
| + | -a exit,always -F arch=b32 -F euid=0 -S execve -k ssh_commands | ||
| - | # ausearch -f /etc/passwd -i | + | # или с любыми правами, в том числе, через реверс шел |
| + | -a exit,always -F arch=b64 -S execve -k all_commands | ||
| + | -a exit,always -F arch=b32 -S execve -k all_commands | ||
| </code> | </code> | ||
система_linux_auditing.1369216248.txt.gz · Last modified: 2013/10/24 16:20 (external edit)
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
