Audit-Kontrollregeln sind ein wichtiger Bestandteil des Linux-Sicherheitsframeworks. Audit-Kontrollregeln werden von auditd-Konfigurationstools wie auditctl und ausearch verwaltet und ermöglichen Systemadministratoren festzulegen, wann und welche sicherheitsrelevanten Ereignisse protokolliert werden.
Nachfolgend finden Sie eine Schritt-für-Schritt-Anleitung zum Definieren von Audit-Kontrollregeln in Rocky Linux 8:
1. Öffnen Sie die Audit-Konfigurationsdatei
Um auf Audit-Kontrollregeln zuzugreifen und diese zu ändern, müssen Sie die Audit-Konfigurationsdatei öffnen. Dies kann mit einem Texteditor mit Root-Rechten erfolgen. In diesem Beispiel verwenden wir den vi-Texteditor:
„
sudo vi /etc/audit/audit.rules
„
2. Verstehen der Syntax der Audit-Kontrollregeln
In der Datei audit.rules finden Sie Regeln, die in einem bestimmten Format ausgedrückt sind. Jede Regel besteht aus drei Hauptkomponenten:
a) Aktion:Dies gibt an, welche Aktion ausgeführt werden soll, wenn eine Regel übereinstimmt. Die beiden häufigsten Aktionen sind „Zulassen“ und „Verweigern“.
b) Feldspezifizierer:Dies bestimmt, welcher Aspekt des Ereignisses mit der Regel abgeglichen wird. Beispielsweise stimmt der Feldbezeichner „comm“ mit dem Prozessnamen überein, während „key“ mit dem spezifischen Schlüssel übereinstimmt.
c) Wertspezifizierer:Dies ist der Wert, mit dem abgeglichen wird, wenn ein Ereignis auftritt. Es kann ein einzelner Wert oder ein regulärer Ausdruck sein.
3. Schreiben einer Audit-Kontrollregel
Mit der Kenntnis der Syntax der Audit-Kontrollregeln können Sie eine neue Regel erstellen. Als Beispiel erstellen wir eine Regel, die alle Zugriffsversuche auf die Datei „/etc/passwd“ protokolliert:
„
-w /etc/passwd -p wa -k pass_access
„
4. Erläuterung der benutzerdefinierten Regel:
-w: Dieser Spezifizierer entspricht Dateiüberwachungsereignissen, insbesondere allen Versuchen, die Datei zu schreiben oder zu ändern.
-p: Dieser Spezifizierer konzentriert sich auf die Berechtigung und ist auf „wa“ gesetzt, was Schreibzugriffsversuche anzeigt.
-k: Dieser Spezifizierer setzt den Schlüssel für die Regel auf „pass_access“, sodass wir problemlos nach Ereignissen suchen können, die sich auf diese bestimmte Regel beziehen.
5. Speichern Sie die Audit-Konfiguration
Sobald Sie Ihre benutzerdefinierten Regeln erstellt haben, speichern Sie die Datei audit.rules, indem Sie die Esc-Taste und anschließend „:wq“ drücken, um vi zu speichern und zu beenden.
6. Starten Sie den Audit-Daemon neu
Damit die neuen Audit-Kontrollregeln wirksam werden, müssen Sie den auditd-Dienst neu starten:
„
Sudo Service Auditd Neustart
„
7. Überprüfen Sie die Audit-Kontrollregeln
Sie können überprüfen, ob die Audit-Kontrollregeln erfolgreich implementiert wurden, indem Sie den Befehl ausearch verwenden:
„
aussearch -k pass_access
„
Dieser Befehl zeigt alle Ereignisse an, die gemäß dem „pass_access“-Schlüssel protokolliert wurden, den Sie in Ihrer benutzerdefinierten Regel angegeben haben.
Schlussfolgerung
Audit-Kontrollregeln in Rocky Linux 8 bieten Systemadministratoren eine detaillierte Kontrolle über die sicherheitsrelevante Ereignisprotokollierung. Durch die sorgfältige Ausarbeitung und Umsetzung dieser Regeln können Sie ein höheres Maß an Systemsicherheit und Compliance erreichen. Denken Sie daran, immer die spezifischen Anforderungen Ihres Systems zu berücksichtigen und für weitere Informationen oder erweiterte Nutzungsszenarien die offizielle Dokumentation von Rocky Linux zu konsultieren.
