文章/答案/技术大牛

发布

社区首页 >专栏 >如何在CentOS 7上编写自定义系统审计规则

如何在CentOS 7上编写自定义系统审计规则

原创

小皇帝James

修改于 2018-10-29 09:23:12

4.4K00

代码可运行

文章被收录于专栏：云计算教程系列云计算教程系列

运行总次数：0

代码可运行

介绍

Linux审计系统创建审计跟踪，这是一种跟踪系统上各种信息的方法。它可以记录大量数据，如事件类型，日期和时间，用户ID，系统调用，进程，使用的文件，SELinux上下文和敏感度级别。它可以跟踪文件是否已被访问，编辑或执行。它甚至可以跟踪文件属性的更改。它能够记录系统调用的使用情况，用户执行的命令，登录尝试失败以及许多其他事件。默认情况下，审计系统仅记录日志中的少数事件，例如登录的用户，使用sudo的用户以及与SELinux相关的消息。它使用审计规则来监视特定事件并创建相关的日志条目。可以创建审计规则。

在本教程中，我们将讨论不同类型的审核规则以及如何在服务器上添加或删除自定义规则。

准备

在开始学习本教程之前，您应该具备以下条件：

CentOS 7 腾讯云CVM（与CentOS 6配合使用）
具有sudo权限的非root用户。所有命令都将以此用户身份运行。
对Linux审计系统的基本了解。

没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后再购买服务器。

查看审核规则

您可以使用auditctl -l命令查看当前的审核规则集。

sudo auditctl -l

如果不存在则不显示任何规则（这是默认值）：

No rules

在本教程中添加规则时，可以使用此命令验证是否已添加规则。

可以使用以下方式查看审计系统的当前状态：

sudo auditctl -s

输出将类似于：

AUDIT_STATUS: enabled=1 flag=1 pid=9736 rate_limit=0 backlog_limit=320 lost=0 backlog=0

enabled=1值显示在此服务器上启用了审核。pid值是审计守护程序的进程号。pid为0表示审计守护程序未运行。lost条目将告诉您由于内核审计队列溢出而丢弃了多少事件记录。backlog字段显示当前有多少事件记录排队等待auditd读取它们。我们将在本教程的下一部分讨论其余的输出字段。

添加审计规则

您可以使用命令行工具auditctl添加自定义审核规则。默认情况下，规则将添加到当前列表的底部，但也可以插入顶部。要使规则永久化，您需要将它们添加到文件/etc/audit/rules.d/audit.rules中。每当auditd服务启动时，它都会激活文件中的所有规则。审核规则在第一个匹配胜利的基础上工作 - 当规则匹配时，它不会进一步评估规则。正确的规则排序很重要。

如果您使用的是CentOS 6，则会找到审核规则文件/etc/audit/audit.rules。

审计规则有三种类型：

控制规则：这些规则用于更改审计系统本身的配置和设置。
文件系统规则：这些是文件或目录监视。使用这些规则，我们可以审核对特定文件或目录的任何类型的访问。
系统调用规则：这些规则用于监视由任何进程或特定用户进行的系统调用。

控制规则

让我们看看我们可以添加的一些控制规则：

auditctl -b <backlog> - 设置允许的最大未完成审核缓冲区数。如果所有缓冲区都已满，则内核会查询失败标志以进行操作。CentOS服务器上设置的默认积压限制为320.您可以使用以下命令查看：

sudo auditctl -s

在输出中，您可以看到当前的backlog_limit值：

AUDIT_STATUS: enabled=1 flag=1 pid=9736 rate_limit=0 backlog_limit=320 lost=0 backlog=0

如果您的积压值大于当前设置的backlog_limit，则可能需要增加backlog_limit以使审核日志记录正常运行。例如，要将值增加到1024，请运行：

sudo auditctl -b 1024

输出将显示状态：

AUDIT_STATUS: enabled=1 flag=1 pid=9736 rate_limit=0 backlog_limit=1024 lost=0 backlog=0

auditctl -f [0 1 2] - 设置失败标志（0 =无声，1 =打印.2 =恐慌）。此选项可让您确定内核如何处理严重错误。如果设置为0，将以静默方式丢弃无法记录的审核消息。如果设置为1，则将消息发送到内核日志子系统。如果设置为2，则会触发内核崩溃。查询此标志的示例条件包括超出积压限制，超出内核内存和超出速率限制。默认值为1.除非服务器上的审计守护程序有任何重大问题，否则无需更改此值。
auditctl -R <filename> - 从指定的文件中读取审核规则。当您测试一些临时规则并希望再次从audit.rules文件中使用旧规则时，这非常有用。

我们通过auditctl添加的规则不是永久性的。要使它们在重新启动后保持不变，您可以将它们添加到文件/etc/audit/rules.d/audit.rules中。此文件使用相同的auditctl命令行语法来指定规则，但前面没有auditctl命令本身。将忽略散列符号（＃）后面的任何空行或任何文本。默认规则文件如下所示：

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320

# Feel free to add below this line. See auditctl man page

要将积压值更改为8192，您可以将-b 320更改为-b 8192并使用以下命令重新启动审计守护程序：

sudo service auditd restart

如果不重新启动守护程序，它仍将在下次服务器重新引导时从配置中设置新值。

文件系统规则

可以在文件和目录上设置文件系统监视。我们还可以指定要监视的访问类型。文件系统规则的语法是：

auditctl -w path_to_file -p permissions -k key_name

path_to_file是被审计的文件或目录。permissions是记录的权限。该值可以是r（读取），w（写入），x（执行）和 a（属性更改）中的一个或组合。key_name是一个可选字符串，可帮助您识别生成特定日志条目的规则。

我们来看一些例子。

sudo auditctl -w /etc/hosts -p wa -k hosts_file_change

上述规则要求审计系统监视对文件/etc/hosts的任何写访问或属性更改，并使用我们指定的自定义键字符串hosts_file_change将它们记录到审计日志中。

如果您希望将此规则设为永久性，请将其添加到底部的文件/etc/audit/rules.d/audit.rules中，如下所示：

-w /etc/hosts -p wa -k hosts_file_change

要确保成功添加规则，您可以运行：

sudo auditctl -l

如果一切顺利，输出应显示：

LIST_RULES: exit,always watch=/etc/hosts perm=wa key=hosts_file_change

我们还可以将手表添加到目录中。

sudo auditctl -w /etc/sysconfig/ -p rwa -k configaccess

上述规则将向目录/etc/sysconfig及其下的所有文件和目录添加监视，以进行任何读取，写入或属性更改访问。它还将使用自定义密钥configaccess标记日志消息。

添加规则以监视/sbin/modprobe命令的执行（此命令可以从服务器添加/删除内核模块）：

sudo auditctl -w /sbin/modprobe -p x -k kernel_modules

注意：您无法将监视表插入顶级目录。这是内核禁止的。也不支持通配符，并会生成警告。

要在审核日志中搜索特定事件，可以使用命令ausearch。例如，要在审核日志中搜索标有configaccess键的所有事件，您可以运行：

sudo ausearch -k configaccess

系统调用规则

通过审核系统调用，您可以远远超出应用程序级别跟踪服务器上的活动。系统调用规则的语法是：

auditctl -a action,filter -S system_call -F field=value -k key_name`

哪里：

在上述命令中将-a替换为-A将在顶部而不是在底部插入该规则。
action和filter指定何时记录某个事件。action可以是always或never。filter指定将哪个内核规则匹配过滤器应用于事件。规则的匹配滤波器可以是下列之一：task，exit，user，和exclude。action,filter在大多数情况下将是always,exit，它会告诉auditctl你想退出时审核本系统调用。
system_call按名称指定系统调用。可以将多个系统调用分组为一个规则，每个规则在-S选项后指定。也可以使用all这个词。您可以使用该sudo ausyscall --dump命令查看所有系统调用的列表及其编号。
field=value 指定其他选项，这些选项可根据指定的体系结构，用户ID，进程ID，路径等修改规则以匹配事件。
key_name 是一个可选字符串，可帮助您稍后识别生成特定日志条目的规则或一组规则。

现在让我们看一些示例系统调用规则。

要定义一个审计规则，该规则创建一个标记的日志条目rename，每次ID为1000或更大的用户重命名文件时，请运行：

sudo auditctl -a always,exit -F arch=b64 -F "auid>=1000" -S rename -S renameat -k rename

该-F arch=b64说审计的规则系统调用的64位版本。

要定义记录特定用户（使用UID 1001）访问的文件的规则，并使用userfileaccess标记日志条目：

sudo auditctl -a always,exit -F arch=b64 -F auid=1001 -S open -k userfileaccess

如果您希望将此规则设为永久性，请将其添加到底部的文件/etc/audit/rules.d/audit.rules中，如下所示：

-a always,exit -F arch=b64 -F auid=1001 -S open -k userfileaccess

您还可以使用系统调用规则语法定义文件系统规则。例如，以下规则：

sudo auditctl -a always,exit -F path=/etc/hosts -F perm=wa -k hosts_file_change

与我们在前面部分中看到的文件系统规则完成相同的工作：

sudo auditctl -w /etc/hosts -p wa -k hosts_file_change

要使用系统调用规则递归查看目录，可以使用-F "dir=/path/to/dir"选项。

注：请注意，所有进程早于审计守护程序本身将有4294967295的auid。要从规则中排除这些规则，您可以添加-F "auid!=4294967295"到规则。要避免此问题，可以添加audit=1到内核引导参数。这使得内核审计系统即使在审计守护程序启动之前也可以启动，并且所有进程都具有正确的登录uid。

删除审核规则

要删除所有当前审核规则，可以使用auditctl -D命令。要用-w选项删除使用添加的文件系统监视规则，您可以在原规则中替换-w为-W。使用选项添加系统调用规则-a或者-A可以使用-d原始规则的选项删除系统调用规则。例如，假设我们添加了以下规则：

sudo auditctl -w /etc/passwd -p wa -k passwdaccess

使用以下方法查看规则集：

sudo auditctl -l

输出应包括：

LIST_RULES: exit,always watch=/etc/passwd perm=wa key=passwdaccess

要删除此规则，我们可以使用以下命令，只需替换-w为-W：

sudo auditctl -W /etc/passwd -p wa -k passwdaccess

现在，使用以下方法查看规则集：

sudo auditctl -l

该规则现在不应该在列表中。

注意：如果audit.rules文件中添加了永久性审计规则，则审计守护程序重新启动或系统重新引导将从文件中加载所有规则。要永久删除审核规则，您需要从文件中删除它们。

锁定审计规则

可以使用auditctl -e [0 1 2]禁用或启用审计系统并使用锁定审计规则。例如，要暂时禁用审核，请运行：

auditctl -e 0

当1作为参数传递时，它将启用审计。要锁定审计配置以使其无法更改，请将2作为参数传递。这使得当前的审计规则集不可变。无法再添加，删除或编辑规则，也无法再停止审计守护程序。对于希望此功能处于活动状态的任何人来说，锁定配置是audit.rules中的最后一个命令。将审核并拒绝任何在此模式下更改配置的尝试。只能通过重新引导服务器来更改配置。