Jak auditovat proces Linuxu pomocí „autrace“ na CentOS/RHEL
Tento článek je naší pokračující sérií o auditování Linuxu. V našich posledních třech článcích jsme vysvětlili, jak auditovat systémy Linux (CentOS a RHEL), dotazovat se na auditované protokoly pomocí ausearch a generovat sestavy pomocí nástroje aureport.
V tomto článku si vysvětlíme, jak auditovat daný proces pomocí nástroje autrace, kde budeme analyzovat proces sledováním systémových volání, které proces provádí.
Přečtěte si také: Jak sledovat provádění příkazů ve skriptu Shell pomocí sledování Shell
Co je to autrace?
autrace je nástroj příkazového řádku, který spouští program, dokud se neskončí, stejně jako strace; přidá pravidla auditu pro sledování procesu a uloží informace o auditu do souboru /var/www/audit/audit.log. Aby to fungovalo (tedy před spuštěním vybraného programu), musíte nejprve odstranit všechna existující pravidla auditu.
Syntaxe pro použití autrace je uvedena níže a akceptuje pouze jednu možnost, -r
, která omezuje shromážděná systémová volání na ta, která jsou potřebná pro posouzení využití zdrojů procesu:
autrace -r program program-args
Pozor: V manuálové stránce autrace je syntaxe následující, což je ve skutečnosti chyba v dokumentaci. Protože při použití tohoto formuláře bude spuštěný program předpokládat, že používáte jednu z jeho interních možností, což povede k chybě nebo k provedení výchozí akce povolené volbou.
autrace program -r program-args
Pokud máte nějaká pravidla auditu, autrace zobrazí následující chybu.
autrace /usr/bin/df
Nejprve odstraňte všechna auditovaná pravidla pomocí následujícího příkazu.
auditctl -D
Poté pokračujte spuštěním autrace s vaším cílovým programem. V tomto příkladu sledujeme provádění příkazu df, který ukazuje využití souborového systému.
autrace /usr/bin/df -h
Na výše uvedeném snímku obrazovky můžete najít všechny položky protokolu související s trasováním ze souboru protokolu auditu pomocí nástroje ausearch následovně.
ausearch -i -p 2678
Kde je možnost:
-i
– umožňuje interpretaci číselných hodnot do textu.-p
– předá ID procesu k vyhledání.
Chcete-li vygenerovat zprávu o podrobnostech trasování, můžete takto vytvořit příkazový řádek ausearch a aureport.
ausearch -p 2678 --raw | aureport -i -f
kde:
--raw
– říká ausearch, aby doručil nezpracovaný vstup do aureport.-f
– umožňuje hlášení o souborech a soketech af_unix.-i
– umožňuje interpretaci číselných hodnot do textu.
A pomocí níže uvedeného příkazu omezujeme shromážděná systémová volání na ta, která jsou potřebná pro analýzu využití zdrojů procesu df.
autrace -r /usr/bin/df -h
Za předpokladu, že jste vyhledali program za poslední týden; což znamená, že v protokolech auditu je uloženo mnoho informací. Chcete-li vytvořit sestavu pouze pro dnešní záznamy, použijte příznak ausearch -ts
k zadání data/času zahájení vyhledávání:
ausearch -ts today -p 2678 --raw | aureport -i -f
A je to! tímto způsobem můžete sledovat a auditovat konkrétní linuxový proces pomocí nástroje autrace, pro více informací zkontrolujte manuálové stránky.
Můžete si také přečíst tyto související užitečné průvodce:
- Sysdig – výkonný nástroj pro monitorování systému a řešení problémů pro Linux
- BCC – Dynamic Tracing Tools for Linux Performance Monitoring, Networking and more
- 30 Užitečné příklady „ps Command“ pro monitorování procesů v Linuxu
- CPUTool – Omezte a řiďte využití CPU jakéhokoli procesu v Linuxu
- Najděte nejběžnější procesy podle nejvyššího využití paměti a CPU v Linuxu
To je prozatím vše! Prostřednictvím komentáře níže se můžete zeptat na jakékoli otázky nebo se podělit o myšlenky týkající se tohoto článku. V příštím článku si popíšeme, jak nakonfigurovat PAM (Pluggable Authentication Module) pro auditování vstupu TTY pro zadané uživatele CentOS/RHEL.