V příštím článku se podíváme na aureport. Toto je nástroj, který vytváří souhrnné zprávy systémových protokolů pro auditování. Tento nástroj může také využít stdin pokud je vstupem nezpracovaná informace protokolu. Sestavy mají v horní části popisek sloupce, který usnadňuje interpretaci různých polí. Kromě hlavní souhrnné zprávy mají všechny zprávy číslo události auditu.
Zprávy vytvořené serverem aureport lze použít jako stavební kameny pro složitější analýzu. Východní není to složitý příkaz, jeho použití je velmi snadné. Na konci tohoto příspěvku si myslím, že všichni budeme vědět něco víc o tom, jak lze tento příkaz použít generovat zprávy z našeho systému.
Instalace aureportu
Chcete-li nainstalovat tento nástroj na náš Ubuntu, budeme muset nainstalovat auditd. Toto je komponenta uživatelského prostoru pro kontrolní systém Gnu / Linux. Po instalaci budeme moci zobrazit protokoly pomocí nástrojů ausearch nebo aureport. Démon auditd umožňuje správci systému Gnu / Linux přijímat informace o auditu zabezpečení generované jádrem, filtrovat je a ukládat do souborů.
Chcete-li provést instalaci, do Udělám tento příklad na Ubuntu 17.10, budeme muset do terminálu (Ctrl + Alt + T) zadat pouze následující příkaz:
sudo apt install auditd
Díky tomu budeme mít vše, co potřebujeme, nainstalované a budeme moci tento nástroj používat v terminálu. Pokud účet root nepoužíváte, budete muset přidat sudo ke každému z příkazů.
Používání aureport
Spusťte souhrnný přehled, který nám poskytnete celkem hlavních položek sestavy. Pamatujte, že ne všechny přehledy obsahují souhrn, který lze použít. Pokud chceme získat souhrnnou zprávu, kterou nám aureport může poskytnout, budeme jednoduše muset provést následující příkaz v terminálu (Ctrl + Alt + T). Výsledkem je souhrnná zpráva:
aureport
V případě potřeby vygenerovat zprávu o ověření, budeme muset provést příkaz pomocí opce au. V terminálu to budeme muset napsat takto:
aureport -au
Příkaz nám může také ukázat zpráva o spustitelných souborech našeho systému. K získání této zprávy budeme muset provést příkaz pomocí možnost x v našem terminálu:
aureport -x
Chcete-li vybrat neúspěšné události ke zpracování v sestavách, budeme muset přidat volba se nezdařila. Výchozí nastavení je úspěšné i neúspěšné události. Budeme muset napsat příkaz, jak je znázorněno níže:
aureport --failed
Pokud to, co chceme vidět, je hlášení o přihlášení, budeme muset provést příkaz pomocí možnost l jak je vidět na následujícím snímku obrazovky:
aureport -l
Viz krypto report Je také možné, použijeme-li příkaz s cr možnost, jak vidíte níže:
aureport -cr
Můžeme také ověřit naše zpráva o změně účtu. Budeme muset přidat pouze možnost m. Příkaz musí být proveden následujícím způsobem:
aureport -m
Chcete-li vidět PID report, budeme muset přidat pouze možnost str na příkaz, jak je znázorněno níže:
aureport -p
Kromě toho uvidíme hlášení o systémovém volání (Syscall) pomocí možnost s. Příkaz můžeme provést následujícím způsobem:
aureport -s
Chcete-li zobrazit zprávu o úspěšné operace, budeme muset provést pouze příkaz přidávající možnost úspěchu k tomuto příkazu:
aureport --success
Dokončíme to viz možnosti dostupné pro tento příkaz. Jednoduše přidejte možnost nápovědy na příkaz aureport. Budeme to muset napsat do terminálu, jak je znázorněno níže:
aureport --help
Odinstalovat
Chcete-li tento nástroj z našeho systému odebrat, stačí otevřít terminál (Ctrl + Alt + T) a napsat do něj:
sudo apt remove auditd && sudo apt autoremove
S tímto již máme obecnou představu o pokrytí a použití příkazu aureport, i když je to jen ukázka. Kdo to potřebuje, může získat pomoc ze stránky které můžeme najít na manuálových stránkách. Tam najdeme stejné informace, které nám náš systém ukáže při provádění pomoc muže na příkaz aureport.