Powinieneś zapoznać się z tymi zaleceniami naprawczymi, gdy ktoś otrzyma błąd config_audit jądra systemu Linux.
Zatwierdzono: Fortect
Informacje ogólne
- Wskazówka: wsparcie audytu
- Typ: logiczne
- Zależy od:
CONFIG_NET - Zdefiniowane w init/Kconfig
- Znaleziono jądra Linux: 2.6.6-2.6.39, 3.0-3.19, 4.0-4.20, 5.0-5.16, 5.17-rc+HEAD
Tekst pomocy
Włącz infrastrukturę monitorowania, której można używać tylko z innymiPodsystem jądra, jak w SELinux (który wymaga:rejestrowanie wyjścia wiadomości tekstowych avc). Tylko włączone monitorowanie połączeń systemowychna jakich architekturach jest uważany za obsługiwany.
Materiał
LCDb
(brak)Źródła
Ta strona może zostać szybko zaktualizowana przez bezpłatne oprogramowanie Open) (darmowe oprogramowanie)lkddb (zobacz źródła lkddb).
Automatyczne łączenie Google (i reklamy)
Struktura audytu systemu Linux udostępnia system audytu zgodny z profilem ochrony kontrolowanego dostępu (CAPP), który bezpiecznie zbiera informacje o wszystkich uroczystościach związanych z bezpieczeństwem (lub niezwiązanych z bezpieczeństwem) na platformie. Może to pomóc w monitorowaniu czynności wykonywanych w bieżącym systemie.
Linux Audit pomaga uczynić Twój system bardziej niezawodnym, dając Ci możliwość szczegółowej analizy pojawiających się sytuacji, które mogą się z nim stać. Jednak nie zapewnia żadnego dodatkowego zabezpieczenia domu w stosunku do własnego – nie chroni twojego programu przed usterkami numeru kierunkowego lub różnego rodzaju exploitami. Zamiast tego audyt jest przydatny do monitorowania tych problemów i podejmuje dodatkowe środki zabezpieczające, aby im zapobiec.
Struktura audytu działa niezależnie od tego, czy nasłuchuje zdarzenia zgłoszonego przez to jądro i zapisuje je w niezabezpieczonym pliku.
Uwaga. Poprawiono zgodność środowiska audytu z butelkami WAS w systemie Linux 3.15, patrz [1]. Interpretacja wpisów kontroli może być nadal trudna, ponieważ identyfikator przestrzeni nazw zawsze był obsługiwany. Zadanie nadal działa, spotkaj się z [2].
Ustawienia
In-Kernel-Audit jest dostępny dla Linuksa (od 4.18), linux-lts (od 4.19), linux-zen (od 4.18) i ulepszonych pod Linuksem. W przypadku jąder niestandardowych CONFIG_AUDIT musi być włączony.
Audyt może być szczególnie włączony podczas rozruchu, ustawiając audit=1 ze względu na fakt, że jest to parametr jądra. Gwarantuje to, że wszystkie zabiegi uruchomione przed uruchomieniem demona parsera są widoczne w jądrze jako sprawdzane. Niewykonanie tego w końcu spowoduje, że niektóre procesy będą mniej niż należycie skontrolowane. Zobacz auditd(8).
Uwaga. Aby całkowicie wyłączyć rozliczanie i usunąć audyt wiadomości z głośnika dziennika, możesz ustawić audit=0 jako idealną opcję jądra i/lub ukryć systemd-journald-audit. Gniazdo.
Struktura audytu z pewnością składa się z demona auditd, który jest ostrożny w odbieraniu komunikatów audytowych generowanych przez interfejs silnika analizy i wysyłanych przez aplikację wraz z systemem aktywności.
- auditctl: do kontrolowania zachowania dołączanego do demona podczas dodawania muchy, reguł itp.
/etc/audit/audit.rules: zawiera charakterystyki i różne ustawienia demona auditd.- aureport: pobierz raport o aktywności w jawnej wyszukiwarce
- ausearch: różne wydarzenia
- auditspd: nowy demon, który może być używany do przekazywania powiadomień o małżeństwie do przeciwnych aplikacji zamiast zapisywania ich na dysku we wszystkich dziennikach audytu
- autrace: To polecenie może być użyte do śledzenia procesu, podobnie do strace.
/etc/audit/auditd.conf: deklaracja konfiguracji związana z logowaniem jądra.
Dodaj reguły
Przed dodaniem zasad musisz zrozumieć, kiedy struktura organu kontrolnego może być naprawdę szczegółowa, a każda reguła woli zostać szybko przetestowana, zanim będzie można ją automatycznie skutecznie zastosować. W rzeczywistości jedna reguła może zalać wszystkie kłody w ciągu kilku minut.
Sprawdź dostęp do plików i list
Najprostszym uzależnieniem od platformy analitycznej jest rejestrowanie czasów łatwego dostępu do potrzebnych plików.Aby to zrobić, Twoja firma musi użyć -w, aby wyszukać dostępny nowy plik lub katalog.Najprostszym powiedzeniem, które pomoże ci skonfigurować, jest dostęp utworu do bieżącego pliku passwd:
# auditctl -w /etc/passwd -p rwxa
# auditctl -w /etc/security/
Pierwsze zaklęcie następuje po każdym odczytanym r, wysokie obcasy w , wykonuje x , przekazuje aspekty a do instrukcji Plik /etc/passwd.Drugi śledzi wszystkich pod względem dostępu do rzeczywistego folderu /etc/security/.
# auditctl -l
# auditctl -D
Po zweryfikowaniu reguł można je dodać do ich pliku /etc/audit/audit.rules w następujący sposób: /etc/audit/audit
-w.rules -p rwxa-w /etc/zabezpieczenia/
Sprawdź wywołania systemowe
Struktura audytu pozwala na sprawdzenie wywołań systemowych wykonanych z opcją -a.
Jedną z zasad związanych z tworzeniem kopii zapasowych jest wykonanie wywołania maszyny chmod(2) w celu wykrycia zmiany własności ścieżki:
# wprowadź auditctl, zawsze -a -S chmod
Dostępnych jest wiele prostych kluczowych punktów i opcji, patrz auditctl(8) w dołączeniu do audit.rules(7).
Filtruj spam
Aby zapobiec przedostawaniu się wielu myśli z audytu do dzienników systemowych, dana osoba może dodać regułę wykluczenia do niektórych z nich:
Zatwierdzono: Fortect
Fortect to najpopularniejsze i najskuteczniejsze narzędzie do naprawy komputerów na świecie. Miliony ludzi ufają, że ich systemy działają szybko, płynnie i bez błędów. Dzięki prostemu interfejsowi użytkownika i potężnemu silnikowi skanowania, Fortect szybko znajduje i naprawia szeroki zakres problemów z systemem Windows - od niestabilności systemu i problemów z bezpieczeństwem po zarządzanie pamięcią i wąskie gardła wydajności.
/etc/audit/rules.d/quiet.rules
Wyklucz
-A, zawsze -F msgtype=SERVICE_STARTWyklucz -A, zawsze powinieneś -F msgtype=SERVICE_STOPWyklucz -A, zawsze Msgtype=BPF
Nie zapomnij -f, który może sprawdzić ustawienia (w razie potrzeby naprawić) i wykonać
