Στο επόμενο άρθρο θα ρίξουμε μια ματιά στο αεροδρόμιο. Αυτό είναι ένα εργαλείο που παράγει συνοπτικές αναφορές αρχείων καταγραφής συστήματος για έλεγχο. Αυτό το βοηθητικό πρόγραμμα μπορεί επίσης να κάνει χρήση του stdin αρκεί η είσοδος να είναι οι πρώτες πληροφορίες καταγραφής. Οι αναφορές έχουν μια ετικέτα στήλης στην κορυφή για να βοηθήσουν στην ερμηνεία των διαφόρων πεδίων. Εκτός από την κύρια συνοπτική έκθεση, όλες οι αναφορές έχουν έναν αριθμό συμβάντος ελέγχου.
Οι αναφορές που παράγονται από το aureport μπορούν να χρησιμοποιηθούν ως δομικά στοιχεία για πιο περίπλοκη ανάλυση. Ανατολή δεν είναι πολύπλοκη εντολή, είναι πολύ εύκολο στη χρήση. Στο τέλος αυτής της δημοσίευσης νομίζω ότι όλοι θα ξέρουμε λίγο περισσότερα για τους τρόπους με τους οποίους μπορεί να χρησιμοποιηθεί αυτή η εντολή δημιουργούμε αναφορές από το σύστημά μας.
Εγκατάσταση αεροδρομίου
Για να εγκαταστήσετε αυτό το εργαλείο στο Ubuntu, θα χρειαστεί να εγκαταστήσουμε το auditd. Αυτό είναι το στοιχείο χώρου χρήστη για το σύστημα ελέγχου Gnu / Linux. Μετά την εγκατάσταση θα είμαστε σε θέση προβολή αρχείων καταγραφής με βοηθητικά προγράμματα ausearch ή aureport. Ο δαίμονας auditd επιτρέπει στον διαχειριστή ενός συστήματος Gnu / Linux να λαμβάνει τις πληροφορίες ελέγχου ασφαλείας που δημιουργούνται από τον πυρήνα, να το φιλτράρει και να τις αποθηκεύει σε αρχεία.
Για να πραγματοποιήσετε την εγκατάσταση, στο Θα κάνω αυτό το παράδειγμα στο Ubuntu 17.10, θα πρέπει να πληκτρολογήσουμε μόνο το τερματικό (Ctrl + Alt + T) την ακόλουθη εντολή:
sudo apt install auditd
Με αυτό, θα έχουμε όλα όσα χρειαζόμαστε εγκατεστημένα και μπορούμε να χρησιμοποιήσουμε αυτό το εργαλείο στο τερματικό. Εάν δεν χρησιμοποιείτε τον ριζικό λογαριασμό, θα πρέπει να το κάνετε προσθέστε sudo σε καθεμία από τις εντολές.
Χρήση αεροδρομίου
Εκτελέστε τη συνοπτική αναφορά που μας παρέχετε ένα σύνολο των κύριων στοιχείων αναφοράς. Λάβετε υπόψη ότι δεν μπορούν να χρησιμοποιηθούν όλες οι αναφορές περίληψη. Αν θέλουμε να λάβουμε τη συνοπτική αναφορά που μπορεί να μας παρέχει το aureport, απλά θα πρέπει να εκτελέσουμε την ακόλουθη εντολή στο τερματικό (Ctrl + Alt + T) Η συνοπτική έκθεση δημιουργείται ως αποτέλεσμα:
aureport
Σε περίπτωση που θέλω δημιουργήστε την αναφορά ελέγχου ταυτότητας, θα πρέπει να εκτελέσουμε την εντολή χρησιμοποιώντας το επιλογή au. Στο τερματικό θα πρέπει να το γράψουμε ως εξής:
aureport -au
Η εντολή μπορεί επίσης να μας δείξει το αναφορά των εκτελέσιμων του συστήματός μας. Για να λάβουμε αυτήν την αναφορά θα πρέπει να εκτελέσουμε την εντολή με το επιλογή x στο τερματικό μας:
aureport -x
Για να επιλέξετε το αποτυχημένα συμβάντα για επεξεργασία σε αναφορές, θα πρέπει να προσθέσουμε το η επιλογή απέτυχε. Η προεπιλογή είναι τόσο επιτυχημένα όσο και αποτυχημένα συμβάντα. Θα πρέπει να γράψουμε την εντολή όπως φαίνεται παρακάτω:
aureport --failed
Αν αυτό που θέλουμε να δούμε είναι την αναφορά σύνδεσης, θα πρέπει να εκτελέσουμε την εντολή χρησιμοποιώντας το επιλογή l όπως φαίνεται στο παρακάτω στιγμιότυπο οθόνης:
aureport -l
Δείτε το αναφορά κρυπτογράφησης Είναι επίσης δυνατό εάν χρησιμοποιήσουμε την εντολή με το επιλογή cr, όπως μπορείτε να δείτε παρακάτω:
aureport -cr
Μπορούμε επίσης να επαληθεύσουμε το δικό μας έκθεση τροποποίησης λογαριασμού. Θα πρέπει να προσθέσουμε μόνο το επιλογή m. Η εντολή πρέπει να εκτελεστεί ως εξής:
aureport -m
Για να δείτε το Αναφορά PID, θα πρέπει να προσθέσουμε μόνο το επιλογή σ στην εντολή όπως φαίνεται παρακάτω:
aureport -p
Επιπλέον, μπορούμε να δούμε το αναφορά κλήσης συστήματος (Syscall) χρησιμοποιώντας την επιλογή s. Μπορούμε να εκτελέσουμε την εντολή χρησιμοποιώντας τον ακόλουθο τρόπο:
aureport -s
Για να δείτε την αναφορά του επιτυχημένες λειτουργίες, θα πρέπει να εκτελέσουμε μόνο την εντολή που προσθέτει το επιλογή επιτυχίας σε αυτήν την εντολή:
aureport --success
Για να τελειώσουμε, θα είμαστε σε θέση δείτε τις διαθέσιμες επιλογές για αυτήν την εντολή. Απλώς προσθέστε το επιλογή βοήθειας στην εντολή aureport. Θα πρέπει να το γράψουμε στο τερματικό όπως φαίνεται παρακάτω:
aureport --help
Καταργήστε την εγκατάσταση
Για να αφαιρέσετε αυτό το εργαλείο από το σύστημά μας, πρέπει απλώς να ανοίξετε ένα τερματικό (Ctrl + Alt + T) και να γράψετε σε αυτό:
sudo apt remove auditd && sudo apt autoremove
Με αυτό έχουμε ήδη μια γενική ιδέα για την κάλυψη και τη χρήση της εντολής aureport, αν και αυτό είναι μόνο ένα δείγμα. Ποιος το χρειάζεται, μπορεί να πάρει βοήθεια από τη σελίδα που μπορούμε να βρούμε στις σελίδες. Εκεί θα βρούμε τις ίδιες πληροφορίες που θα μας δείξει το σύστημά μας κατά την εκτέλεση του άντρας βοήθεια στην εντολή aureport.