Vyhledávání na webu

Jak auditovat proces Linuxu pomocí „autrace“ na CentOS/RHEL


Tento článek je naší pokračující sérií o auditování Linuxu. V našich posledních třech článcích jsme vysvětlili, jak auditovat systémy Linux (CentOS a RHEL), dotazovat se na auditované protokoly pomocí ausearch a generovat sestavy pomocí nástroje aureport.

V tomto článku si vysvětlíme, jak auditovat daný proces pomocí nástroje autrace, kde budeme analyzovat proces sledováním systémových volání, které proces provádí.

Přečtěte si také: Jak sledovat provádění příkazů ve skriptu Shell pomocí sledování Shell

Co je to autrace?

autrace je nástroj příkazového řádku, který spouští program, dokud se neskončí, stejně jako strace; přidá pravidla auditu pro sledování procesu a uloží informace o auditu do souboru /var/www/audit/audit.log. Aby to fungovalo (tedy před spuštěním vybraného programu), musíte nejprve odstranit všechna existující pravidla auditu.

Syntaxe pro použití autrace je uvedena níže a akceptuje pouze jednu možnost, -r, která omezuje shromážděná systémová volání na ta, která jsou potřebná pro posouzení využití zdrojů procesu:

autrace -r program program-args

Pozor: V manuálové stránce autrace je syntaxe následující, což je ve skutečnosti chyba v dokumentaci. Protože při použití tohoto formuláře bude spuštěný program předpokládat, že používáte jednu z jeho interních možností, což povede k chybě nebo k provedení výchozí akce povolené volbou.

autrace program -r program-args

Pokud máte nějaká pravidla auditu, autrace zobrazí následující chybu.

autrace /usr/bin/df

Nejprve odstraňte všechna auditovaná pravidla pomocí následujícího příkazu.

auditctl -D

Poté pokračujte spuštěním autrace s vaším cílovým programem. V tomto příkladu sledujeme provádění příkazu df, který ukazuje využití souborového systému.

autrace /usr/bin/df -h

Na výše uvedeném snímku obrazovky můžete najít všechny položky protokolu související s trasováním ze souboru protokolu auditu pomocí nástroje ausearch následovně.

ausearch -i -p 2678

Kde je možnost:

  • -i – umožňuje interpretaci číselných hodnot do textu.
  • -p – předá ID procesu k vyhledání.

Chcete-li vygenerovat zprávu o podrobnostech trasování, můžete takto vytvořit příkazový řádek ausearch a aureport.

ausearch -p 2678 --raw | aureport -i -f

kde:

  • --raw – říká ausearch, aby doručil nezpracovaný vstup do aureport.
  • -f – umožňuje hlášení o souborech a soketech af_unix.
  • -i – umožňuje interpretaci číselných hodnot do textu.

A pomocí níže uvedeného příkazu omezujeme shromážděná systémová volání na ta, která jsou potřebná pro analýzu využití zdrojů procesu df.

autrace -r /usr/bin/df -h

Za předpokladu, že jste vyhledali program za poslední týden; což znamená, že v protokolech auditu je uloženo mnoho informací. Chcete-li vytvořit sestavu pouze pro dnešní záznamy, použijte příznak ausearch -ts k zadání data/času zahájení vyhledávání:

ausearch -ts today -p 2678 --raw | aureport -i -f

A je to! tímto způsobem můžete sledovat a auditovat konkrétní linuxový proces pomocí nástroje autrace, pro více informací zkontrolujte manuálové stránky.

Můžete si také přečíst tyto související užitečné průvodce:

  1. Sysdig – výkonný nástroj pro monitorování systému a řešení problémů pro Linux
  2. BCC – Dynamic Tracing Tools for Linux Performance Monitoring, Networking and more
  3. 30 Užitečné příklady „ps Command“ pro monitorování procesů v Linuxu
  4. CPUTool – Omezte a řiďte využití CPU jakéhokoli procesu v Linuxu
  5. Najděte nejběžnější procesy podle nejvyššího využití paměti a CPU v Linuxu

To je prozatím vše! Prostřednictvím komentáře níže se můžete zeptat na jakékoli otázky nebo se podělit o myšlenky týkající se tohoto článku. V příštím článku si popíšeme, jak nakonfigurovat PAM (Pluggable Authentication Module) pro auditování vstupu TTY pro zadané uživatele CentOS/RHEL.