במאמר הבא אנו נסתכל על נמל התעופה. זהו כלי ש מייצר דוחות סיכום של יומני המערכת לביקורת. כלי שירות זה יכול גם להשתמש סטדין כל עוד הקלט הוא מידע היומן הגולמי. בראש הדוחות יש תווית עמודה העוזרת בפירוש התחומים השונים. למעט דוח הסיכום הראשי, לכל הדוחות מספר אירוע ביקורת.
הדוחות המופקים על ידי נמל התעופה יכולים לשמש כאבני בניין לניתוחים מסובכים יותר. מזרח זה לא פקודה מורכבת, זה קל מאוד לשימוש. בסוף פוסט זה אני חושב שכולנו נדע מעט יותר על הדרכים בהן ניתן להשתמש בפקודה זו ליצור דוחות מהמערכת שלנו.
התקנת נמל תעופה
להתקנת כלי זה באובונטו שלנו, נצטרך להתקין את auditd. זהו רכיב שטח המשתמשים למערכת הביקורת של גנו / לינוקס. לאחר ההתקנה נוכל להציג יומנים בעזרת כלי חיפוש או נמל aureport. הדמון של auditd מאפשר למנהל מערכת Gnu / Linux לקבל את מידע ביקורת האבטחה שנוצר על ידי הליבה, לסנן אותו ולאחסן אותו בקבצים.
לביצוע ההתקנה, ל אני הולך לעשות את הדוגמה הזו באובונטו 17.10נצטרך להקליד את המסוף (Ctrl + Alt + T) רק את הפקודה הבאה:
sudo apt install auditd
בעזרת זה נתקין את כל מה שאנחנו צריכים ונוכל להשתמש בכלי זה בטרמינל. אם אינך משתמש בחשבון הבסיס, תצטרך להוסיף סודו לכל אחת מהפקודות.
שימוש בנמל התעופה
הפעל את דוח הסיכום שאתה מספק לנו סך פריטי הדו"ח העיקריים. זכור שלא בכל הדוחות יש סיכום שניתן יהיה להשתמש בהם. אם ברצוננו להשיג את דוח הסיכום שיכול לנמל התעופה לספק לנו, פשוט נצטרך לבצע את הפקודה הבאה במסוף (Ctrl + Alt + T). דוח הסיכום נוצר כתוצאה:
aureport
במקרה של רצון ליצור את דוח האימות, נצטרך לבצע את הפקודה באמצעות ה- אפשרות au. במסוף נצטרך לכתוב אותו באופן הבא:
aureport -au
הפקודה יכולה גם להראות לנו את דוח של הפעלות של המערכת שלנו. כדי להשיג דוח זה נצטרך לבצע את הפקודה באמצעות ה- אפשרות x במסוף שלנו:
aureport -x
לבחירת ה- אירועים כושלים לעיבוד בדוחות, נצטרך להוסיף את אפשרות נכשלה. ברירת המחדל היא אירועים מוצלחים וגם נכשלים. נצטרך לכתוב את הפקודה כמוצג להלן:
aureport --failed
אם מה שאנחנו רוצים לראות הוא דוח הכניסה, נצטרך לבצע את הפקודה באמצעות ה- אפשרות l כפי שנראה בצילום המסך הבא:
aureport -l
צפה דו"ח קריפטו זה אפשרי גם אם נשתמש בפקודה עם ה- אפשרות cr, כפי שניתן לראות להלן:
aureport -cr
אנחנו יכולים גם לאמת את שלנו דוח שינוי חשבון. נצטרך רק להוסיף את אפשרות מ. יש לבצע את הפקודה באופן הבא:
aureport -m
לראות את דוח PIDנצטרך רק להוסיף את אפשרות עמ ' לפקודה כמוצג להלן:
aureport -p
בנוסף, נוכל לראות את דוח שיחות מערכת (Syscall) משתמש ב אפשרויות. אנו יכולים לבצע את הפקודה בדרך הבאה:
aureport -s
לצפייה בדו"ח של פעולות מוצלחותנצטרך לבצע רק את הפקודה להוסיף את ה- אפשרות הצלחה לפקודה זו:
aureport --success
לסיום, נוכל ראה את האפשרויות הזמינות לפקודה זו. כל שעליך לעשות הוא להוסיף את אפשרות עזרה לפקודת aureport. נצטרך לכתוב אותו במסוף כמוצג להלן:
aureport --help
הסר את ההתקנה
כדי להסיר את הכלי הזה מהמערכת שלנו, אתה רק צריך לפתוח מסוף (Ctrl + Alt + T) ולכתוב בו:
sudo apt remove auditd && sudo apt autoremove
עם זאת יש לנו כבר מושג כללי לגבי הכיסוי והשימוש בפקודה aureport, אם כי זה רק דוגמא. מי צריך את זה, יכול להשיג עזרה מהדף שנוכל למצוא בדפי אדם. שם נמצא את אותו המידע שהמערכת שלנו תראה לנו בעת ביצוע ה- איש עזרה בפקודה aureport.