GNU/Linux >> Belajar Linux >  >> Cent OS

Cara memonitor Mount/Umounting Mount Points Menggunakan Auditd pada CentOS/RHEL 6,7

Jadi pertanyaannya di sini adalah bagaimana kita menentukan proses pengguna atau sistem mana yang meng-umount atau memasang titik mount tertentu. Pemasangan dan pemasangan titik pemasangan dapat dipantau dengan bantuan auditd. auditd adalah komponen userspace untuk sistem audit Linux. Ini berarti bahwa pengguna sistem akan dapat menjalankan auditd untuk mengonfigurasi aturan dan peringatan untuk mengaudit fungsionalitas dengan sistem Linux.

Salah satu hal terbaik tentang auditd adalah ia terintegrasi erat dengan kernel, sehingga memberi kita kekuatan untuk memantau hampir semua yang kita inginkan, sungguh. Secara default, tidak ada aturan yang dikonfigurasi. Kita perlu menulis aturan kita di /etc/audit/rules.d/audit.rules file konfigurasi yang akan dibaca dan tindakan audit yang sesuai akan diterapkan.

Menginstal auditd

1. Paket auditd adalah bagian dari instalasi default sistem RHEL/CentOS 7. Kita dapat memverifikasinya dengan perintah berikut:

# rpm -qa | grep audit
audit-libs-2.8.1-3.el7.x86_64
audit-libs-python-2.8.1-3.el7.x86_64
audit-2.8.1-3.el7.x86_64

2. Jika paket tersebut bukan bagian dari sistem kami, kami dapat melanjutkan dan menginstalnya:

# yum install audit

3. Pastikan daemon audit berjalan. Kami akan menggunakan perintah berikut:

# systemctl status auditd
● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Sun 2018-06-17 06:56:06 UTC; 2min 37s ago
     Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
  Process: 657 ExecStartPost=/sbin/augenrules --load (code=exited, status=0/SUCCESS)
  Process: 652 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
 Main PID: 653 (auditd)
    Tasks: 2
   CGroup: /system.slice/auditd.service
           └─653 /sbin/auditd

Dalam kasus CentOS/RHEL 6, Anda dapat menggunakan perintah layanan untuk memeriksa status layanan audit:

# service auditd status

Mengonfigurasi Aturan auditd untuk Memantau pemasangan/pemasangan Sistem File

Sekarang mari kita mengkonfigurasi aturan auditd yang diperlukan untuk memantau pemasangan/pemasangan sistem file.

1. Tambahkan aturan berikut di file /etc/audit/rules.d/audit.rules audit mount dan umount operations. Perhatikan nama umount SYCALL adalah umount2.

# vi /etc/audit/rules.d/audit.rules
-a always,exit -F arch=b64 -S mount,umount2 -k mount_umount
Pada CentOS/RHEL 6, file konfigurasinya adalah /etc/audit/audit.rules bukannya /etc/audit/rules.d/audit.rules.

Di sini,
-a – Menambahkan aturan ke akhir daftar dengan tindakan.
selalu,keluar – adalah tindakan yang ditentukan dengan opsi -a.
-S – singkatan dari SYSCALL (Dalam kasus uor mount dan umount2)
arch=b64 – menentukan aturan untuk arsitektur 64 bit.

2. Restart layanan auditd dengan perintah “service”:

# service auditd restart
Stopping logging:                                          [  OK  ]
Redirecting start to /bin/systemctl start auditd.service

Verifikasi

1. Mari kita ambil titik mount /data sebagai contoh dan lihat apakah kita mendapatkan log audit yang dihasilkan saat memasang/memount titik mount ini.

# df -hP /data
Filesystem      Size  Used Avail Use% Mounted on
/dev/xvdf       976M  2.6M  907M   1% /data

2. Umount titik mount ini secara manual.

# umount /data

Pantau /var/log/audit/audit.log, cari pesan seperti di bawah ini. uid= dan gid= bagian serta pid= bagian dari log audit dapat membantu menentukan proses atau pengguna yang mengeluarkan perintah:

# tailf /var/log/audit/audit.log
...
type=SYSCALL msg=audit(1529223527.639:881): arch=c000003e syscall=166 success=yes exit=0 a0=55a5863d3880 a1=0 a2=1 a3=7ffe52c22320 items=1 ppid=2930 pid=3335 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2 comm="umount" exe="/usr/bin/umount" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="mount_umount"
type=CWD msg=audit(1529223527.639:881):  cwd="/root"

Menelusuri /var/log/audit/audit.log bisa sangat melelahkan jika Anda memiliki banyak hal yang diaudit di server Anda. Sebagai gantinya, Anda dapat menggunakan perintah "ausearch" dengan kunci yang ditentukan dalam aturan untuk memfilter log yang hanya terkait dengan pemasangan dan pemasangan. Misalnya:

# ausearch -k mount_umount
----
time->Sun Jun 17 08:18:47 2018
type=PROCTITLE msg=audit(1529223527.639:881): proctitle=756D6F756E74002F64617461
type=PATH msg=audit(1529223527.639:881): item=0 name="/data" inode=2 dev=ca:50 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:unlabeled_t:s0 objtype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=CWD msg=audit(1529223527.639:881):  cwd="/root"
type=SYSCALL msg=audit(1529223527.639:881): arch=c000003e syscall=166 success=yes exit=0 a0=55a5863d3880 a1=0 a2=1 a3=7ffe52c22320 items=1 ppid=2930 pid=3335 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2 comm="umount" exe="/usr/bin/umount" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="mount_umount"
Bagaimana cara memantau perubahan file /etc/shadow dan /etc/passwd dengan Auditd?
Bagaimana cara menggunakan auditd untuk memantau penghapusan file di Linux
Memahami audit Sistem dengan auditd


Cent OS

  1. Cara Memulai Ulang Layanan Jaringan di CentOS 8 atau RHEL 8

  2. CentOS / RHEL :Cara menginstal dan memulai layanan Apache httpd

  3. CentOS / RHEL 7 :Cara mengikuti urutan pemasangan di /etc/fstab

  1. CentOS / RHEL 7 :Cara Mengubah id mesin

  2. CentOS / RHEL :Cara mengubah UUID sistem file

  3. CentOS / RHEL 7:Tidak Dapat Memulai Layanan Samba

  1. Cara Mengubah Label sistem file di CentOS/RHEL

  2. Cara menonaktifkan layanan avahi-daemon di CentOS/RHEL

  3. Cara Memasang Sistem File NFS Menggunakan 'autofs' di CentOS/RHEL