A Linux-folyamatok auditálása az „autrace” használatával a CentOS/RHEL rendszeren
Ez a cikk a Linux Auditingről szóló, folyamatban lévő sorozatunk. A legutóbbi három cikkünkben elmagyaráztuk, hogyan auditálhatjuk a Linux rendszereket (CentOS és RHEL), hogyan lehet lekérdezni az auditált naplókat az ausearch segítségével, és hogyan generálhatunk jelentéseket az aureport segédprogrammal.
Ebben a cikkben elmagyarázzuk, hogyan lehet auditálni egy adott folyamatot az autrace segédprogrammal, ahol a folyamatot a folyamat által kezdeményezett rendszerhívások nyomon követésével elemezzük.
Olvassa el még: A parancsok végrehajtásának nyomon követése a Shell Scriptben a Shell Tracing segítségével
Mi az autrace?
Az autrace egy parancssori segédprogram, amely a programot a kilépésig futtatja, akárcsak a strace; hozzáadja a megfigyelési szabályokat a folyamatok nyomon követéséhez, és elmenti az ellenőrzési információkat a /var/www/audit/audit.log fájlba. Ahhoz, hogy működjön (azaz a kiválasztott program futtatása előtt), először törölnie kell az összes meglévő ellenőrzési szabályt.
Az autrace használatának szintaxisa alább látható, és csak egy opciót fogad el, a -r
opciót, amely az összegyűjtött rendszerhívásokat a folyamat erőforrás-használatának értékeléséhez szükséges értékekre korlátozza:
autrace -r program program-args
Figyelem: Az autrace man oldalon a következő szintaxis, ami tulajdonképpen egy dokumentációs hiba. Mivel ezen űrlap használatával a futtatott program azt feltételezi, hogy valamelyik belső beállítását használja, ami hibát eredményez, vagy az opció által engedélyezett alapértelmezett műveletet hajtja végre.
autrace program -r program-args
Ha vannak ellenőrzési szabályok, az autrace a következő hibát mutatja.
autrace /usr/bin/df
Először törölje az összes auditd szabályt a következő paranccsal.
auditctl -D
Ezután futtassa az autrace programot a célprogramjával. Ebben a példában a df parancs végrehajtását követjük nyomon, amely a fájlrendszer használatát mutatja.
autrace /usr/bin/df -h
A fenti képernyőképen megtalálhatja a nyomkövetéssel kapcsolatos összes naplóbejegyzést az ellenőrzési naplófájlból az ausearch segédprogram használatával, az alábbiak szerint.
ausearch -i -p 2678
Ahol a lehetőség:
-i
– lehetővé teszi a numerikus értékek szöveggé történő értelmezését.-p
– átadja a keresendő folyamatazonosítót.
Ha jelentést szeretne készíteni a nyomkövetési részletekről, létrehozhat egy ehhez hasonló ausearch és aureport parancssort.
ausearch -p 2678 --raw | aureport -i -f
Ahol :
--raw
– megmondja, hogy az ausearch nyers bemenetet küldjön az aureportba.-f
– lehetővé teszi a fájlokról és af_unix socketekről történő jelentéskészítést.-i
– lehetővé teszi a numerikus értékek szöveggé történő értelmezését.
Az alábbi paranccsal pedig az összegyűjtött syscall-okat a df-folyamat erőforrás-használatának elemzéséhez szükségesekre korlátozzuk.
autrace -r /usr/bin/df -h
Feltételezve, hogy az elmúlt egy hétben felvett egy programot; Ez azt jelenti, hogy sok információ van az ellenőrzési naplókban. Ha csak a mai rekordokról szeretne jelentést készíteni, használja a -ts
ausearch jelzőt a keresés kezdő dátumának/időpontjának megadásához:
ausearch -ts today -p 2678 --raw | aureport -i -f
Ez az! így nyomon követheti és auditálhatja az adott Linux-folyamatot az autrace eszközzel, további információkért tekintse meg a kézikönyvoldalakat.
Elolvashatja ezeket a kapcsolódó, hasznos útmutatókat is:
- Sysdig – Hatékony rendszerfigyelő és hibaelhárító eszköz Linuxhoz
- BCC – Dinamikus nyomkövető eszközök Linux-teljesítményfigyeléshez, hálózatépítéshez és egyebekhez
- 30 hasznos „ps parancs” példa a Linux folyamatfigyeléshez
- CPUTool – Korlátozza és szabályozza a Linux bármely folyamatának CPU-használatát
- Keresse meg a legjobban futó folyamatokat a Linux legnagyobb memória- és processzorhasználata alapján
Ez minden most! Bármilyen kérdést feltehet, vagy megoszthatja gondolatait ezzel a cikkel kapcsolatban az alábbi megjegyzésben. A következő cikkben leírjuk, hogyan kell konfigurálni a PAM-ot (Pluggable Authentication Module) a TTY-bemenet auditálásához meghatározott CentOS/RHEL felhasználók számára.