1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
|
---
title: Бүлэг 18. Аюулгүй байдлын үйл явцад аудит хийх нь
part: хэсэг III. Системийн Удирдлага
prev: books/handbook/mac
next: books/handbook/disks
showBookMenu: true
weight: 22
path: "/books/handbook/"
---
[[audit]]
= Аюулгүй байдлын үйл явцад аудит хийх нь
:doctype: book
:toc: macro
:toclevels: 1
:icons: font
:sectnums:
:sectnumlevels: 6
:sectnumoffset: 18
:partnums:
:source-highlighter: rouge
:experimental:
:images-path: books/handbook/audit/
ifdef::env-beastie[]
ifdef::backend-html5[]
:imagesdir: ../../../../images/{images-path}
endif::[]
ifndef::book[]
include::shared/authors.adoc[]
include::shared/mirrors.adoc[]
include::shared/releases.adoc[]
include::shared/attributes/attributes-{{% lang %}}.adoc[]
include::shared/{{% lang %}}/teams.adoc[]
include::shared/{{% lang %}}/mailing-lists.adoc[]
include::shared/{{% lang %}}/urls.adoc[]
toc::[]
endif::[]
ifdef::backend-pdf,backend-epub3[]
include::../../../../../shared/asciidoctor.adoc[]
endif::[]
endif::[]
ifndef::env-beastie[]
toc::[]
include::../../../../../shared/asciidoctor.adoc[]
endif::[]
[[audit-synopsis]]
== Ерөнхий агуулга
FreeBSD үйлдлийн системд нягт-боловсруулсан, аюулгүй байдлын үйл явцад аудит хийх дэмжлэг орсон байгаа. Үйл явцад аудит хийх нь нэвтрэн оролтууд, тохиргооны өөрчлөлтүүд, болон файл болон сүлжээний хандалт зэрэг төрөл бүрийн аюулгүй байдлын холбогдолтой системийн үйл явцуудын хянаж бүртгэсэн бичлэгийг найдвартай, нягт-боловсруулсан, ба тохируулах боломжтойгоор хийх боломжийг бүрдүүлдэг. Эдгээр хянаж бүртгэсэн бичлэгүүд нь системийг шууд хянах, халдлага илрүүлэх, болон халдлагын дараах анализ хийхэд үнэлж баршгүй байж болох юм. FreeBSD Sun(TM)-ий гаргасан BSM API болон файлын хэлбэрийг шийдлээ болгосон бөгөөд Sun(TM)-ий Solaris болон Apple(R)-ийн Mac OS(R) X-ийн аудит шийдлүүдтэй харилцан ажиллах боломжтой.
Энэ бүлэг нь үйл явцыг аудит хийхийг тохируулах болон суулгах тал дээр анхаарна. Энд аудитийн бодлогуудын талаар тайлбарлах бөгөөд аудитийн тохиргооны жишээг бас харж болно.
Энэ бүлгийг уншсаны дараа, та дараах зүйлсийг мэдэх болно:
* Үйл явцыг аудит хийх гэж юу вэ болон яаж ажилладаг талаар.
* Хэрэглэгчид болон процессуудын үйл явцыг аудит хийхийг FreeBSD дээр яаж тохируулах талаар.
* Аудитийн мөрийг аудит багасгах болон хянах хэрэгслүүдээр хэрхэн шалгах талаар.
Энэ бүлгийг уншихаасаа өмнө, та дараах зүйлсийг мэдэх шаардлагатай:
* UNIX(R) болон FreeBSD-ийн үндсийг ойлгох (crossref:basics[basics,Юниксийн үндэс]).
* Цөмийг тохируулах/хөрвүүлэх үндэстэй танилцах (crossref:kernelconfig[kernelconfig,FreeBSD цөмийг тохируулах нь]).
* Аюулгүй байдлын талаар болон түүний FreeBSD -тэй хэрхэн холбогддог талаар ойлголттой байх (crossref:security[security,Аюулгүй байдал]).
[WARNING]
====
Аудит хэрэгсэл нь зарим нэг хязгаарлагдмал боломжуудтай бөгөөд тэдгээрээс дурдвал бүх аюулгүй байдлын холбогдолтой системийн үйл явцуудыг аудит хийх боломжгүй, X11 дээр үндэслэгдсэн дэлгэцийн менежерүүд болон гуравдагч дэмонууд зэрэг зарим нэвтрэх механизмууд хэрэглэгчийн нэвтрэх сессийг аудит хийх тохиргоог буруу хийдэг зэрэг болно.
Аюулгүй байдлын үйл явцыг аудит хийх хэрэгсэл нь системийн ажиллагааны маш дэлгэрэнгүй бичлэгүүдийг үүсгэх чадвартай: нарийвчилсан тохиргоо хийгдсэн завгүй системд мөр бичлэгийн файлын өгөгдөл тохиргооноос хамааран зарим тохиолдолд гигабайтаас ч илүү асар их болох боломжтой. Администраторууд их хэмжээний аудит хийх тохиргоотой холбоотой дискний хэмжээний шаардлагыг тооцох ёстой. Жишээ нь, аудит бичиж байгаа файлын систем дүүрэх нөхцөлд өөр бусад файлын системүүдэд хамааралгүйгээр файлын системийг [.filename]#/var/audit# модонд зориулах нь магадгүй зохимжтой байж болох юм.
====
[[audit-inline-glossary]]
== Энэ бүлгийн түлхүүр ухагдахуунууд
Энэ бүлгийг уншихаас өмнө аудиттай холбоотой цөөн түлхүүр ухагдахуунуудыг тайлбарлах шаардлагатай:
* _үйл явц_: Аудит хийх боломжтой үйл явц гэдэг нь аудит дэд системийн тусламжтайгаар хянаж бүртгэх боломжтой дурын үйл явцыг хэлнэ. Аюулгүй байдалтай холбоотой үйл явцуудын жишээнүүдэд файлын үүсгэлт, сүлжээний холболтыг босгох, эсвэл хэрэглэгчийн нэвтрэлтийг дурдаж болно. Үйл явцууд нь нэг бол жинхэнэ хэрэглэгч хүртэл мөрдөн гаргаж болох "шинж чанарлаг", эсвэл тэгж болохооргүй "шинж чанарлаг бус " байна. "Шинж чанарлаг бус" үйл явцуудын жишээнүүд гэвэл нууц үгийн буруу оролдлогууд гэх мэт нэвтрэн орох процессийн жинхэнэ эсэхийг шалгахаас өмнөх үеийн дурын үйл явцуудыг хэлж болно.
* _ангилал_: Үйл явцын ангиллууд гэдэг нь холбоотой үйл явцууд бүхий хэсэг бүлгүүдийн нэр бөгөөд эдгээр нь сонголтын илэрхийллүүдэд хэрэглэгддэг. Энгийн ашиглагддаг үйл явцуудын ангиллуудад "файл үүсгэлт" (fc), "ажиллуулах" (ex) мөн "нэвтрэх_гарах" (lo) зэрэг орно.
* _бичлэг_: Бичлэг гэдэг нь аюулгүй байдлын үйл явцыг тайлбарласан аудитийн хянан бүртгэсэн оруулга юм. Бичлэгүүд нь үйл явцын төрлийн бичлэг, субьектийн (хэрэглэгч) үйлдэл хийж байгаа тухай мэдээлэл, огноо болон цагийн мэдээлэл, дурын нэмэлт өгөгдлүүд болон обьектуудын мэдээлэл, амжилт эсвэл уналтын нөхцөлүүдийг агуулдаг.
* _мөр_: Аудитийн мөр буюу хянан бүртгэлийн файл нь аюулгүй байдлын үйл явцуудыг тайлбарласан аудит бичлэгүүдийн сериэс тогтоно. Ерөнхийдөө мөрүүд нь үйл явцуудын биелж дууссан цагийн дагуу он цагийн дарааллаар байрладаг. Зөвхөн жинхэнэ процессууд аудитийн мөрд бичлэг нэмэх эрхтэй байдаг.
* _сонголтын илэрхийлэл_: Сонголтын илэрхийлэл нь угтваруудын жагсаалт болон үйл явцтай тохирох аудитийн үйл явцын ангиллын нэрсээс тогтох мөр юм.
* _урьдчилсан сонголт_: Энэ нь администраторын сонирхох боломж бүхий үйл явцууд, сонирхлыг татахгүй байгаа үйл явц зэргийг тайлбарласан аудитийн бичлэгүүдийг үүсгэхээс зайлсхийх зорилготойгоор ялгасан системийн процесс юм. Урьдчилсан тохиргоо нь аль хэрэглэгчийн хувьд үйл явцуудын аль ангиллуудыг таних болон жинхэнэ болон жинхэнэ биш процессуудад хамаарах глобал тохиргоонуудын сонголтын илэрхийллүүдийн серийг ашигладаг.
* _хураангуйлалт_: Энэ нь байгаа аудитийн мөрнүүдээс аль бичлэгүүдийг хадгалалт, хэвлэлт болон анализ хийхээр сонгосон процесс юм. Үүний нэгэн адил аудит мөрөөс хэрэггүй аудит бичлэгүүдийг устгах процесс бас хамаарна. Хураангуйлалтыг ашиглаад администраторууд аудит өгөгдлийн хадгалалтын бодлогуудыг боловсруулах боломжтой юм. Жишээ нь, дэлгэрэнгүй аудитийн мөрнүүд нэг сарын хугацаанд хадгалагдаад дараагаар нь тэдгээр мөрнүүдийг архивын зорилгоор зөвхөн нэвтрэлтийн мэдээллийг үлдээн багасгаж болох юм.
[[audit-install]]
== Аудит хийх дэмжлэг суулгах нь
Үйл явцыг Аудит хийх хэрэглэгчийн талбарын дэмжлэг үндсэн FreeBSD үйлдлийн системд орсон байгаа. Үйл явцыг Аудит хийх дэмжлэг анхдагчаар эмхэтгэгдэн орсон боловч яг энэ боломжийг дэмжихийн тулд дараах мөрийг цөмд оруулан хөрвүүлсэн байх шаардлагатай:
[.programlisting]
....
options AUDIT
....
crossref:kernelconfig[kernelconfig,FreeBSD цөмийг тохируулах нь] -д тайлбарласан ердийн процессийн дагуу цөмийг дахин хөрвүүлж суулгана.
Аудит идэвхжсэн цөм бүтээгдэж суулгагдаад систем дахин ачаалсны дараа дараах мөрийг man:rc.conf[5] -д нэмж аудит дэмонг идэвхжүүлнэ:
[.programlisting]
....
auditd_enable="YES"
....
Тэгээд системийг дахин ачаалах замаар эсвэл гараар аудит дэмонг ажиллуулах замаар аудит дэмжлэгийг эхлүүлэх ёстой:
[.programlisting]
....
service auditd start
....
[[audit-config]]
== Аудитийн тохиргоо
Аюулгүй байдлын аудитийн тохиргооны бүх файлуудыг [.filename]#/etc/security# дотроос олж болно. Дараах файлууд аудит дэмон эхлэхээс өмнө байх ёстой:
* [.filename]#audit_class# - Аудитийн ангиллуудын тодорхойлолтуудыг агуулна.
* [.filename]#audit_control# - Анхдагч аудитийн ангиллууд, аудитийн хянан бүртгэлтийн эзлэхүүнд үлдээх хамгийн бага дискний зай, хамгийн их аудитийн мөрийн хэмжээ гэх зэрэг аудит дэд системийн шинж чанарыг хянана.
* [.filename]#audit_event# - Системийн аудит үйл явцуудын тайлбарууд, нэрс болон үйл явц болгон аль ангилалд хамаарах жагсаалт.
* [.filename]#audit_user# - Нэвтрэн орох үеийн глобал анхдагчуудаас бүрдсэн зөвхөн хэрэглэгчид хамааралтай аудитийн шаардлагууд
* [.filename]#audit_warn# - Аудитийн бичлэгүүдийн зай хангалтгүй болох эсвэл аудитийн мөрийн файл дахин эргэсэн зэрэг зайлшгүй шаардлагатай тохиолдолд анхааруулах мэдээллүүдийг үүсгэдэг өөрчлөх боломж бүхий auditd-ийн ашигладаг бүрхүүлийн скрипт.
[WARNING]
====
Тохиргоон дахь алдаанууд үйл явцуудын буруу хянан бүртгэлд хүргэж болзошгүй тул аудитийн тохиргооны файлуудыг засварлах болон ажиллагааг хангахдаа заавал болгоомжтой байх шаардлагатай.
====
=== Үйл явц сонголтын илэрхийллүүд
Сонголтын илэрхийллүүд нь аль үйл явцуудыг аудит хийх ёстойг тодорхойлох аудитийн тохиргооны хэд хэдэн газар ашиглагддаг. Илэрхийллүүд нь тохирох үйл явцын ангиллуудын жагсаалтаас бүрдэх ба эдгээр тус бүр нь тохирох бичлэгүүдийг хүлээн авах ёстой юу эсвэл орхих ёстой юу гэдгийг харуулсан угтвартайгаас гадна оруулга нь амжилттай эсвэл амжилтгүй үйлдлүүдтэй тохирох ёстойг харуулах боломж бас байна. Сонголтын илэрхийллүүд нь зүүнээс баруун тийш биелэгддэг бөгөөд хоёр илэрхийллийг нэг дээр нь нөгөөг нь нэмж нийлүүлдэг.
Дараах жагсаалт нь [.filename]#audit_class#-д байгаа анхдагч үйл явцын ангиллуудаас тогтоно:
* `all` - _all_ - Бүх үйл явцын ангиллуудыг тааруулах(match).
* `ad` - _administrative_ - Удирдлагын үйлдлүүд систем дээр бүхэлдээ гүйцэтгэгдэнэ.
* `ap` - _application_ - Програмын тодорхойлсон үйлдэл.
* `cl` - _file close_ - `close` системийн дуудлагыг аудит хийх.
* `ex` - _exec_ - Програмын ажиллагааг аудит хийх. Тушаалын мөрийн нэмэлт өгөгдлүүд болон орчны хувьсагчуудыг `argv` ба `envv` параметрүүдийг ашиглан `policy` тохиргоонд тохиргоо хийн man:audit_control[5] -ийн тусламжтайгаар хянадаг.
* `fa` - _file attribute access_ - man:stat[1], man:pathconf[2] болон бусад адил үйл явцуудын обьектийн шинж чанаруудад хандсан хандалтыг аудит хийх.
* `fc` - _file create_ - Үр дүнд нь файл үүсдэг үйл явцуудыг аудит хийх.
* `fd` - _file delete_ - Файлыг устгадаг үйл явцуудыг аудит хийх.
* `fm` - _file attribute modify_ - man:chown[8], man:chflags[1], man:flock[2] зэрэг файлын шинж чанарын өөрчлөлт гарч байгаа үйл явцуудыг аудит хийх.
* `fr` - _file read_ - Өгөгдөл уншигдаж байгаа, мөн файлуудыг уншихаар нээсэн зэрэг үйл явцуудыг аудит хийх.
* `fw` - _file write_ - Өгөгдөл бичигдэж байгаа, мөн файлд бичсэн эсвэл файл өөрчлөгдсөн зэрэг үйл явцуудыг аудит хийх.
* `io` - _ioctl_ - man:ioctl[2] системийн дуудлагын хэрэглээг аудит хийх.
* `ip` - _ipc_ - POSIX хоолойнууд болон System V IPC үйлдлүүд зэрэг Процесс-Хоорондох Холбооны төрөл бүрийн хэлбэрүүдийг аудит хийх.
* `lo` - _login_logout_ - Систем дээр болж байгаа man:login[1] ба man:logout[1] үйл явцуудыг аудит хийх.
* `na` - _non attributable_ - Шинж чанаргүй үйл явцуудыг аудит хийх.
* `no` - _invalid class_ - Аудит бус үйл явцуудыг тааруулах(match).
* `nt` - _network_ - man:connect[2] ба man:accept[2] зэрэг сүлжээний үйлдлүүдтэй холбоотой үйл явцуудыг аудит хийх.
* `ot` - _other_ - Бусад үйл явцуудыг аудит хийх.
* `pc` - _process_ - man:exec[3] ба man:exit[3] зэрэг процессийн үйлдлүүдийг аудит хийх.
Эдгээр аудит үйл явцын ангиллуудыг [.filename]#audit_class# болон [.filename]#audit_event# тохиргооны файлуудыг өөрчилснөөр өөрчилж болно.
Жагсаалтад байгаа аудитийн ангилал бүр амжилттай/амжилтгүй үйлдлүүдийг таарсан эсэхийг болон ангилал ба төрлийн хувьд таарч байгааг нэмж байгаа эсвэл устгаж байгааг харуулсан угтвартай байна.
* (none) Үйл явцын амжилттай болон амжилтгүйг аудит хийх.
* `+` Энэ ангилал дахь амжилттай үйл явцуудыг аудит хийх.
* `-` Энэ ангилал дахь амжилтгүй үйл явцуудыг аудит хийх.
* `^` Энэ ангилал дахь амжилттай, амжилтгүй аль нь ч биш үйл явцуудыг аудит хийх.
* `^+` Энэ ангилал дахь амжилттай үйл явцуудыг аудит хийхгүй.
* `^-` Энэ ангилал дахь амжилтгүй үйл явцуудыг аудит хийхгүй.
Дараах сонголтын мөр амжилттай ба амжилтгүй нэвтрэлт/гаралтын үйл явцуудаас гадна зөвхөн амжилттай ажиллуулсныг сонгож байна:
[.programlisting]
....
lo,+ex
....
=== Тохиргооны файлууд
Аудит системийг тохируулахдаа ихэнх тохиолдолд администраторууд зөвхөн хоёр файлыг өөрчлөх хэрэгтэй: [.filename]#audit_control# болон [.filename]#audit_user#. Эхнийх нь системийн дагуух аудит өмчүүд болон бодлогуудыг хянадаг; хоёр дахь нь хэрэглэгчийн аудитийг нарийн тохируулахад ашиглагддаг.
[[audit-auditcontrol]]
==== [.filename]#audit_control# файл
[.filename]#audit_control# файл нь аудит дэд системийн хувьд анхдагч утгуудын тоог тодорхойлно. Энэ файлын дотор бид дараах зүйлсийг харна:
[.programlisting]
....
dir:/var/audit
flags:lo
minfree:20
naflags:lo
policy:cnt
filesz:0
....
`dir` тохиргоо нь аудит бүртгэлүүдийг хадгалах нэг болон хэд хэдэн санг заахад хэрэглэгдэнэ. Хэрэв нэгээс их сан байгаа бол бичигдсэн дарааллаараа ашиглагдана. Файлын систем дүүрсэн тохиолдолд аудит дэд систем болон бусад дэд системүүд бие биедээ нөлөөлж болзошгүй учир аудит бүртгэлүүдийг тусгайлан зориулсан файлын систем дээр хадгалахаар аудит системийг ихэвчлэн тохируулдаг.
`flags` талбар нь системийн дагуух шинж чанар бүхий үйл явцуудад зориулсан анхдагч урьдчилан сонголтын багийг тодорхойлдог. Дээрх жишээн дээр бүх хэрэглэгчийн хувьд амжилттай болон амжилтгүй нэвтрэлт болон гаралтын үйл явцууд аудит хийгдэж байна.
`minfree` тохиргоо нь аудит мөр хадгалагдах файлын системийн хувьд хамгийн бага чөлөөт зайны хувийг тодорхойлдог. Энэ тогтоосон хэмжээнээс илүү гарахад анхааруулга үүсгэгддэг. Дээрх жишээ хамгийн бага чөлөөт зайг 20 хувиар тогтоожээ.
`naflags` тохиргоо нь нэвтрэн оролтын процесс болон системийн дэмонууд зэрэг шинж чанаргүй үйл явцуудыг аудит хийх аудитийн ангиллуудыг тодорхойлдог.
`policy` тохиргоо нь таслалаар тусгаарлагдсан, аудитийн зан авирын төрөл бүрийн шинж чанарыг хянах бодлогын тугуудын жагсаалтыг тодорхойлдог. Анхдагч `cnt` туг нь аудит амжилтгүй болсон ч гэсэн систем ажиллагаагаа үргэлжлүүлэхийг заадаг (энэ туг зайлшгүй шаардлагатай). Өөр нэг байнга ашиглагддаг туг бол `argv` бөгөөд энэ нь man:execve[2] системийн дуудлагад орж байгаа тушаалын мөрийн нэмэлт өгөгдлүүдийг тушаалын ажиллагааг аудит хийхийн хэсэг болох боломж олгодог.
`filesz` тохиргоо нь мөрийн файл автоматаар төгсөх болон эргэхээс өмнөх аудит мөрийн файлын хамгийн их хэмжээг байтаар тодорхойлдог. Анхдагч утга нь 0 байх ба автоматаар эргүүлэхийг хориглосон байна. Хэрэв хүссэн файлын хэмжээ тэгээс ялгаатай ба 512k -аас бага бол түүнийг орхиж бүртгэлийн мэдээлэл үүсгэнэ.
[[audit-audituser]]
==== [.filename]#audit_user# файл
[.filename]#audit_user# файл нь зарим нэг хэрэглэгчдэд зориулсан аудитийн шаардлагуудыг администраторууд тодорхойлохыг зөвшөөрдөг. Мөр болгон хэрэглэгчид зориулсан аудитийг хийхийг хоёр талбараар тохируулдаг: нэг дэх нь хэрэглэгчийн хувьд үргэлж аудит хийх шаардлагатай нэг хэсэг үйл явцуудыг тодорхойлдог `alwaysaudit` талбар ба хоёр дахь нь `neveraudit` талбар бөгөөд хэрэглэгчийн хувьд хэзээ ч аудит хийх шаардлагагүй нэг хэсэг үйл явцуудыг тодорхойлдог.
Дараах жишээн дээр [.filename]#audit_user# файл нь нэвтрэлт/гаралтын үйл явцууд, `root` хэрэглэгчийн амжилттай тушаалын ажиллагаа, файл үүсгэлт ба `www` хэрэглэгчийн амжилттай тушаалын ажиллагааг аудит хийж байна. Хэрэв дээрх жишээ [.filename]#audit_control# файлтай цуг ашиглагдвал `root`-ийн `lo` оруулга нь давхардах бөгөөд `www` хэрэглэгчийн нэвтрэлт/гаралтын үйл явцууд бас аудит хийгдэнэ.
[.programlisting]
....
root:lo,+ex:no
www:fc,+ex:no
....
[[audit-administration]]
== Аудит дэд системийг удирдах нь
=== Аудит мөрүүдийг харах нь
Аудит мөрүүд нь BSM хоёртын хэлбэрээр хадгалагддаг бөгөөд өөрчлөх болон текст уруу хөрвүүлэхэд тусгай хэрэгслүүд ашиглах шаардлагатай. man:praudit[1] тушаал нь мөрийн файлуудыг хялбар текст хэлбэрт хөрвүүлдэг; man:auditreduce[1] тушаал нь аудит мөрийн файлыг шинжлэх, архивлах эсвэл хэвлэх зорилгоор багасгахад ашиглагддаг. `auditreduce` нь үйл явцын төрөл, үйл явцын ангилал, үйл явцын хэрэглэгч, огноо эсвэл цаг, файлын зам эсвэл обьектийн үйлдэл үзүүлсэн зэрэг төрөл бүрийн сонголтын параметрүүдийг дэмждэг.
Жишээ нь `praudit` хэрэгсэл нь заасан аудит бүртгэлийн бүх агуулгыг жирийн текстээр харуулна:
[source,shell]
....
# praudit /var/audit/AUDITFILE
....
[.filename]#AUDITFILE# нь харуулах аудит бүртгэл юм.
Аудит мөрүүд нь токенуудаас бүтэх аудит бичлэгүүдийн цувралаас тогтох бөгөөд `praudit` нь мөр болгонд нэгийг дараалуулан хэвлэнэ. Токен бүр аудит бичлэгийн толгойг агуулсан `header` эсвэл нэрийн хайлтаас гарсан файлын замыг агуулсан `path` зэрэг тусгай төрлийн байна. Дараах жишээ нь `execve` үйл явцыг харуулж байна:
[.programlisting]
....
header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec
exec arg,finger,doug
path,/usr/bin/finger
attribute,555,root,wheel,90,24918,104944
subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100
return,success,0
trailer,133
....
Энэхүү аудит нь амжилттай `execve` дуудлагыг илэрхийлж байгаа бөгөөд түүнд `finger doug` тушаал ажиллажээ. Нэмэлт өгөгдлийн токен нь цөм уруу бүрхүүлээс гарч боловсруулагдсан тушаалын мөрийг агуулна. `path` буюу замын токен нь цөмийн хайсан ажиллах файлын замыг агуулна. `attribute` буюу шинж чанарын токен нь хоёртын файлыг тайлбарлах ба тухайлбал програм setuid эсэхийг тодорхойлоход ашиглагдах файлын горимыг агуулна. `subject` буюу субьект токен нь субьект процессийг тайлбарлах бөгөөд аудит хэрэглэгчийн ID, идэвхитэй хэрэглэгчийн ID ба бүлгийн ID, жинхэнэ хэрэглэгчийн ID ба бүлгийн ID, процессийн ID, сессийн ID, портын ID болон нэвтрэлтийн хаяг гэсэн дарааллаар хадгална. Аудит хэрэглэгчийн ID ба жинхэнэ хэрэглэгчийн ID нь ялгаатайг анхаарах хэрэгтэй: `robert` гэдэг хэрэглэгч энэ тушаалыг ажиллуулахаасаа өмнө `root` бүртгэл уруу шилжсэн бөгөөд энэ нь эхний шалгуулсан хэрэглэгчийг ашиглан аудит хийгдсэн байна. Төгсгөлд нь `return` буюу буцах токен нь амжилттай ажиллагааг харуулж `trailer` нь бичлэгийг төгсгөнө.
`praudit` нь бас XML гаралтын хэлбэрийг дэмждэг бөгөөд үүнийг `-x` нэмэлт өгөгдлийг ашиглан сонгож болдог.
=== Аудитийн мөрүүдийг багасгах нь
Аудит бүртгэлүүд нь маш их байж болно, администратор зарим хэрэглэгчтэй холбоотой бичлэгүүд зэрэг хэсэг бичлэгүүдийг ашиглахын тулд шилж сонгохыг магадгүй хүснэ:
[source,shell]
....
# auditreduce -u trhodes /var/audit/AUDITFILE | praudit
....
Энэ нь [.filename]#AUDITFILE# файлд хадгалагдсан `trhodes` хэрэглэгчийн бүх аудитийн бичлэгүүдийг сонгож байна.
=== Аудит хянах эрхүүдийг томилох нь
`audit` бүлгийн гишүүд [.filename]#/var/audit# дахь аудит мөрүүдийг унших эрхтэй; анхандаа энэ бүлэг нь хоосон байх бөгөөд тэгэхээр зөвхөн `root` хэрэглэгч аудит мөрүүдийг уншиж чадна. Аудит хянах эрхүүдийг хэрэглэгчдэд томилохын тулд хэрэглэгчдийг `audit` бүлэгт нэмж болно. Аудитийн бүртгэлийн агуулгыг хянах чадвар нь хэрэглэгчид болон процессуудын үйл хөдлөлийн дотоод уруу нэлээн гүнзгий ханддаг учир аудит хянах эрхүүдийг томилохдоо болгоомжтой хийхийг зөвлөж байна.
=== Аудит хоолойнуудыг шууд монитор хийх нь
Аудит хоолойнууд нь төхөөрөмжийн файлын систем дахь клон хийгдсэн псевдо төхөөрөмжүүд бөгөөд програмыг шууд явж байгаа аудит бичлэгийн урсгалд холбох боломж олгоно. Энэ нь голчлон халдлага илрүүлэх болон систем монитор хийх програмуудын зохиогчдын сонирхлыг татдаг. Гэхдээ администраторуудын хувьд аудитийн хоолойны төхөөрөмж нь аудитийн мөрийн файлын эзэмшил эсвэл үйл явцын урсгалыг зогсоох, бүртгэл эргүүлэх зэрэг асуудлуудтай холбогдолгүйгээр шууд монитор хийх эвтэйхэн боломжийг бүрдүүлдэг. Шууд явж байгаа аудитийн үйл явцын урсгалыг хянахдаа дараах тушаалын мөрийг ашиглана:
[source,shell]
....
# praudit /dev/auditpipe
....
Анхандаа аудитийн хоолойны төхөөрөмжийн цэгүүдэд зөвхөн `root` хэрэглэгч хандах эрхтэй байдаг. `audit` бүлгийн хэрэглэгчид хандах боломжтой болгохын тулд `devfs` дүрмийг [.filename]#devfs.rules# -д нэмнэ:
[.programlisting]
....
add path 'auditpipe*' mode 0440 group audit
....
devfs файлын системийг тохируулах талаар дэлгэрэнгүй мэдээллийг man:devfs.rules[5] -ээс харна уу.
[WARNING]
====
Аудитийн үйл явцын буцааж өгөх давталтуудыг үүсгэх нь хялбар бөгөөд аудит үйл явц бүрийн үзэлт нь олон аудитийн үйл явцуудыг үүсгэхэд хүргэнэ. Жишээ нь, хэрэв сүлжээний бүх I/O аудит хийгдсэн бөгөөд man:praudit[1] нь SSH сессээс ажилласан бол үйл явц бүр хэвлэгдэхэд өөр үйл явцыг бас үүсгэх учраас үргэлжилсэн аудитийн үйл явцууд их хэмжээгээр үүсэх болно. Энэ асуудлыг бий болгохгүйн тулд нарийн тохируулаагүй I/O аудит хийх сессээс `praudit`-ийг аудитийн хоолойны төхөөрөмж дээр ажиллуулахыг зөвлөж байна.
====
=== Аудит мөрийн файлуудыг эргүүлэх нь
Аудит мөрүүд нь зөвхөн цөмөөр бичигдэх бөгөөд auditd аудит дэмоноор удирдагддаг. Администраторууд аудит бүртгэлүүдийг шууд эргүүлэхдээ man:newsyslog.conf[5] эсвэл бусад хэрэгслүүдийг ашиглан хийх ёсгүй юм. Харин `audit` удирдах хэрэгслийг ашиглан аудитийг унтраах, аудит системийг дахин тохируулах, болон бүртгэлийг эргүүлэх үйлдлүүдийг хийх боломжтой байдаг. Дараах тушаал аудит дэмонг шинэ аудит бүртгэл үүсгэж цөмийг шинэ бүртгэл уруу шилжихийг дохино. Хуучин бүртгэл нь төгсөж нэр нь өөрчлөгдөх бөгөөд дараагаар түүнтэй администратор ажиллах боломж бүрдэнэ.
[source,shell]
....
# audit -n
....
[WARNING]
====
Хэрэв auditd дэмон ажиллахгүй байгаа бол энэ тушаал нь амжилтгүй болох бөгөөд алдааны мэдээлэл үүсгэнэ.
====
Дараах мөрийг [.filename]#/etc/crontab# -д нэмснээр man:cron[8] -оос арван хоёр цаг тутам эргүүлэх болно:
[.programlisting]
....
0 */12 * * * root /usr/sbin/audit -n
....
Шинэ [.filename]#/etc/crontab# -ийг хадгалсны дараа өөрчлөлт үйлчилж эхлэх болно.
Файлын хэмжээн дээр тулгуурласан аудитийн мөрийн файлыг автоматаар эргүүлэх нь man:audit_control[5] дахь `filesz` тохиргоогоор хийгдэх боломжтой бөгөөд гарын авлагын энэ бүлгийн тохиргооны файлуудын хэсэгт тайлбарласан болно.
=== Аудит мөрүүдийг шахах нь
Аудит мөрийн файлууд асар их болох тусам мөрүүдийг аудит дэмоноор хаалгасны дараа шахах эсвэл архивлах нь зүйтэй юм. [.filename]#audit_warn# скрипт нь аудитийн мөрүүдийг эргүүлэх үеийн цэвэр төгсгөл зэрэг төрөл бүрийн аудиттай холбоотой үйл явцуудад зориулан өөрчилсөн үйлдлүүдийг гүйцэтгэхэд ашиглагдана. Жишээ нь хаагдах үед аудит мөрүүдийг шахах дараах кодыг [.filename]#audit_warn# скриптэд нэмж болно:
[.programlisting]
....
#
# Compress audit trail files on close.
#
if [ "$1" = closefile ]; then
gzip -9 $2
fi
....
Бусад архивлах идэвхүүдэд мөрийн файлуудыг төв сервер уруу хуулах, хуучин мөрийн файлуудыг устгах эсвэл хэрэггүй бичлэгүүдийг хасч аудит мөрийг багасгах зэрэг орж болно. Аудит мөрийн файлууд цэвэрхэн дууссан тохиолдолд скрипт ажиллана, тэгэхээр буруу унтраасны дараа дуусаагүй мөрүүд дээр ажиллахгүй.
|
