Du bör granska de bästa åtgärdsrekommendationerna när du får ett Linux-kärna config_audit-fel.
Godkänd: Fortect
Allmän information
- Tips: Granskningsstöd
- Typ: boolesk
- Beroende på:
CONFIG_NET
- Definierat i init/Kconfig
- Linux-kärnor har hittat: 2.6.6-2.6.39, 3.0-3.19, 4.0-4.20, 5.0-5.16, 5.17-rc+HEAD
Hjälptext
Aktivera trafikövervakningsinfrastruktur som kan användas med andraKärndelsystem, när i SELinux (vilket kräverlogga utgången som är kopplad till avc-textmeddelanden). Endast systemsamtalsövervakning tillåtenpå vilka arkitekturer det stöds.
Material
LCDDb
(ingen)
Källor
Denna uppskrivning kan uppdateras automatiskt av den kostnadsfria programvaran Open) (gratis programvaralkddb (se lkddb-källor).
Google Autolänk (och annonser)
Linux revisionsramverket avslöjar ett kontrollsystem som är kompatibelt med Controlled Access Protection Profile (CAPP) som säkert samlar in information om alla säkerhetshändelser (eller icke-säkerhetshändelser) i montern. Detta kan hjälpa dig att övervaka att dessa aktiviteter utförs på systemet.
Linux Audit hjälper till att initiera ditt system säkrare genom att ge dig all möjlighet att analysera i detalj vad som kan ta på ditt system. Det ger dock ingen extra hemsäkerhet i sig själv – den här metoden skyddar inte ditt system från riktnummer eller utnyttjande av något slag. Istället kan revision beskrivas som användbart för att hålla reda på dessa problem, och du vidtar även ytterligare säkerhetsåtgärder för att avsluta dem.
Revisionsramverket fungerar om det lyssnar efter någon bra händelse som rapporterats av kärnan och skriver förstå den till signaturfilen.
Obs. Fixad revisionsmiljömatchning med WAS-flaskor i Linux 3.15, hittas [1]. Det kan fortfarande vara svårt att tolka granskningsposter eftersom namnområdets identifierare stöds. Uppgiften anses fortfarande köra, se [2].
Inställningar
In-Kernel-Audit är tillgängligt med Linux (från 4.18), linux-lts (från 4.19), linux-zen (från 4.18) och Linux-förbättrad. För anpassade kärnor måste CONFIG_AUDIT
vara aktiverat.
Revision kan aktiveras vid uppstart genom att ställa in audit=1
som en kärnparameter. Detta säkerställer att alla processer som körs innan en parser-demon startar är markerade i kärnan för att kontrolleras. Underlåtenhet att göra det kommer att inträffa i vissa processer som inte blir ordentligt inspekterade. Se granskad(8).
Obs. För att helt inaktivera redovisning och ta bort punktrevision från loggljud kan du fixa audit=0
snabbt som ett kärnalternativ och/eller lägga upp systemd-journald-audit. Socket
.
Revisionsramverket består förmodligen av den viktigaste auditd-demonen, som är ansvarig för att ta emot revisionsuttalanden som genereras genom revisionsmotorns gränssnitt och skapas av applikationen och aktivitetssystemet.
- auditctl: så att du kontrollerar demonens beteende när atart tränar . flyga, regler etc.
/etc/audit/audit.rules
: innehåller egenskaper och olika situationer för auditd-demonen.- aureport: generera en rapport genom aktivitet i en specifik sökmotor
- usearch: en hel del händelser
- auditspd: ny demon som kan användas för att i framtiden äktenskapsmeddelanden till andra applikationer istället för att skapa dem till disk i granskningsloggen
- autrace: Denna påverkan kan användas för att spåra en process, samma till strace.
/etc/audit/auditd.conf
: konfigurationsfil relaterad till kärnloggning.
Lägg till regler
Innan du lägger till regler måste du veta exakt när revisionsstrukturen verkligen kan avslutas granulärt, och varje regel måste testas i ett ögonblick innan den kan användas effektivt. Helt enkelt kan en regel översvämma alla stockar under några minuter.
Kontrollera åtkomst till filer och listor
Den enklaste användningen av analysprogrammet är att logga åtkomsttider till det papper du behöver.För att göra detta måste ditt företag behöva -w
för att söka efter en ny fil alternativt katalog.Det enklaste ordspråket att ställa in är vilken låt som har tillgång till passwd-filen:
# auditctl -l /etc/passwd -p rwxa
# auditctl -w /etc/security/
Första besvärjelsen följer varje r
som läses, skickar w
, kör x
, skickar a
komponenter till manuell Skicka /etc/passwd
.Den andra håller reda på alla med tanke på åtkomst till mappen /etc/security/
.
# auditctl -l
# auditctl -D
När reglerna har validerats kommer de sannolikt att läggas till i filen /etc/audit/audit.rules
som kommer: /etc/audit/audit
-w.rules -p rwxa-w /etc/security/
Kontrollera systemsamtal
Revisionsramverket låter dig kontrollera systemanrop som nås med alternativet -a
.
En med reglerna för säkerhetskopiering är på marknaden för att köra chmod(2) systemanropet för att upptäcka en annan förändring i filägande:
# ange auditctl, alltid -en bra -S chmod
Du kan hitta många enkla regler och alternativ, se auditctl(8) förutom audit.rules(7).
Filtrera skräppost
För att förhindra att många granskningsmeddelanden hamnar i systemloggarna kan du lägga till en elimineringsregel till några av dem:
Godkänd: Fortect
Fortect är världens mest populära och effektiva PC-reparationsverktyg. Det litar på miljontals människor för att hålla sina system igång snabbt, smidigt och felfritt. Med sitt enkla användargränssnitt och kraftfulla skanningsmotor hittar och fixar Fortect snabbt ett brett utbud av Windows-problem – från systeminstabilitet och säkerhetsproblem till minneshantering och prestandaflaskhalsar.
/etc/audit/rules.d/quiet.rules
Uteslut
-A, vanligtvis -F msgtype=SERVICE_STARTExkludera -A, alltid -F msgtype=SERVICE_STOPExkludera -A, du bör definitivt Msgtype=BPF
Glöm inte -f att kontrollera inställningarna (fixa vid behov) och återskapa