Weboldal keresés

A Linux-folyamatok auditálása az „autrace” használatával a CentOS/RHEL rendszeren

Ez a cikk a Linux Auditingről szóló, folyamatban lévő sorozatunk. A legutóbbi három cikkünkben elmagyaráztuk, hogyan auditálhatjuk a Linux rendszereket (CentOS és RHEL), hogyan lehet lekérdezni az auditált naplókat az ausearch segítségével, és hogyan generálhatunk jelentéseket az aureport segédprogrammal.

Ebben a cikkben elmagyarázzuk, hogyan lehet auditálni egy adott folyamatot az autrace segédprogrammal, ahol a folyamatot a folyamat által kezdeményezett rendszerhívások nyomon követésével elemezzük.

Olvassa el még: A parancsok végrehajtásának nyomon követése a Shell Scriptben a Shell Tracing segítségével

Mi az autrace?

Az autrace egy parancssori segédprogram, amely a programot a kilépésig futtatja, akárcsak a strace; hozzáadja a megfigyelési szabályokat a folyamatok nyomon követéséhez, és elmenti az ellenőrzési információkat a /var/www/audit/audit.log fájlba. Ahhoz, hogy működjön (azaz a kiválasztott program futtatása előtt), először törölnie kell az összes meglévő ellenőrzési szabályt.

Az autrace használatának szintaxisa alább látható, és csak egy opciót fogad el, a -r opciót, amely az összegyűjtött rendszerhívásokat a folyamat erőforrás-használatának értékeléséhez szükséges értékekre korlátozza:

autrace -r program program-args

Figyelem: Az autrace man oldalon a következő szintaxis, ami tulajdonképpen egy dokumentációs hiba. Mivel ezen űrlap használatával a futtatott program azt feltételezi, hogy valamelyik belső beállítását használja, ami hibát eredményez, vagy az opció által engedélyezett alapértelmezett műveletet hajtja végre.

autrace program -r program-args

Ha vannak ellenőrzési szabályok, az autrace a következő hibát mutatja.

autrace /usr/bin/df

Először törölje az összes auditd szabályt a következő paranccsal.

auditctl -D

Ezután futtassa az autrace programot a célprogramjával. Ebben a példában a df parancs végrehajtását követjük nyomon, amely a fájlrendszer használatát mutatja.

autrace /usr/bin/df -h

A fenti képernyőképen megtalálhatja a nyomkövetéssel kapcsolatos összes naplóbejegyzést az ellenőrzési naplófájlból az ausearch segédprogram használatával, az alábbiak szerint.

ausearch -i -p 2678

Ahol a lehetőség:

  • -i – lehetővé teszi a numerikus értékek szöveggé történő értelmezését.
  • -p – átadja a keresendő folyamatazonosítót.

Ha jelentést szeretne készíteni a nyomkövetési részletekről, létrehozhat egy ehhez hasonló ausearch és aureport parancssort.

ausearch -p 2678 --raw | aureport -i -f

Ahol :

  • --raw – megmondja, hogy az ausearch nyers bemenetet küldjön az aureportba.
  • -f – lehetővé teszi a fájlokról és af_unix socketekről történő jelentéskészítést.
  • -i – lehetővé teszi a numerikus értékek szöveggé történő értelmezését.

Az alábbi paranccsal pedig az összegyűjtött syscall-okat a df-folyamat erőforrás-használatának elemzéséhez szükségesekre korlátozzuk.

autrace -r /usr/bin/df -h

Feltételezve, hogy az elmúlt egy hétben felvett egy programot; Ez azt jelenti, hogy sok információ van az ellenőrzési naplókban. Ha csak a mai rekordokról szeretne jelentést készíteni, használja a -ts ausearch jelzőt a keresés kezdő dátumának/időpontjának megadásához:

ausearch -ts today -p 2678 --raw | aureport -i -f

Ez az! így nyomon követheti és auditálhatja az adott Linux-folyamatot az autrace eszközzel, további információkért tekintse meg a kézikönyvoldalakat.

Elolvashatja ezeket a kapcsolódó, hasznos útmutatókat is:

  1. Sysdig – Hatékony rendszerfigyelő és hibaelhárító eszköz Linuxhoz
  2. BCC – Dinamikus nyomkövető eszközök Linux-teljesítményfigyeléshez, hálózatépítéshez és egyebekhez
  3. 30 hasznos „ps parancs” példa a Linux folyamatfigyeléshez
  4. CPUTool – Korlátozza és szabályozza a Linux bármely folyamatának CPU-használatát
  5. Keresse meg a legjobban futó folyamatokat a Linux legnagyobb memória- és processzorhasználata alapján

Ez minden most! Bármilyen kérdést feltehet, vagy megoszthatja gondolatait ezzel a cikkel kapcsolatban az alábbi megjegyzésben. A következő cikkben leírjuk, hogyan kell konfigurálni a PAM-ot (Pluggable Authentication Module) a TTY-bemenet auditálásához meghatározott CentOS/RHEL felhasználók számára.