Куда я попал?
Настройка регистрации событий безопасности в операционных системах Linux
Цель: реализовать обязательную регистрацию событий безопасности, связанных с доступом и изменениями в критичных конфигурационных файлах, каталогах и т.д.
Мера применима для всех серверов и рабочих станций на базе ОС Linux. Мера направлена на защиту систем от несанкционированных изменений конфигурации, попыток повышения привилегий и скрытых действий злоумышленников путём настройки механизмов встроенного аудита. Правила аудита делают действия пользователей и процессов в отношении критичных объектов подотчётными и отслеживаемыми.
Настройка регистрации событий безопасности на базе Linux
Мера применима для всех серверов и рабочих станций на базе ОС Linux. Мера направлена на защиту систем от несанкционированных изменений конфигурации, попыток повышения привилегий и скрытых действий злоумышленников путём настройки механизмов встроенного аудита. Правила аудита делают действия пользователей и процессов в отношении критичных объектов подотчётными и отслеживаемыми.
Настройка регистрации событий безопасности на базе Linux
- Установка службы Auditd:
- В случае отсутствия указанной службы на автоматизированном рабочем месте, сервере, необходимо выполнить её установку на каждом объекте регистрации событий путем выполнения в терминале следующей команды:
apt-get install auditd
- В случае отсутствия указанной службы на автоматизированном рабочем месте, сервере, необходимо выполнить её установку на каждом объекте регистрации событий путем выполнения в терминале следующей команды:
- Запуск и включение службы:
- После установки необходимо запустить и включить службу путем выполнения в терминале следующих команд:
sudo systemctl start auditdsudo systemctl enable auditd
- После установки необходимо запустить и включить службу путем выполнения в терминале следующих команд:
- Настройка параметров Auditd:
- Осуществить настройку службы Auditd путем редактирования параметров конфигурационного файла, который находится в директории /etc/audit/auditd.conf, где:
- max_log_file — максимальный размер журнального файла аудита в мегабайтах
- num_logs — максимальное количество журнальных файлов аудита
- log_file — путь к журнальному файлу аудита
- log_group — группа, которой принадлежит журнальный файл аудита
- Осуществить настройку службы Auditd путем редактирования параметров конфигурационного файла, который находится в директории /etc/audit/auditd.conf, где:
- Настройка правил регистрации событий:
- Настройку правил регистрации событий безопасности необходимо осуществлять используя утилиту auditctl. Наборы правил содержатся в файлах /etc/audit/audit.rules и /etc/audit/rules.d/*.rules.
- Просмотр событий безопасности:
- Для просмотра событий безопасности необходимо использовать утилиту aureport.
- Собранная информация хранится в директории /var/log/audit/, а файлы имеют расширение .log. Пример команды для просмотра отчетов:
- aureport option -if filename
Рекомендации по настройке регистрации событий безопасности на базе Linux:
- Отслеживание изменений в директории или файле
sudo auditctl -w /var/log -p w -k var_log_changes
- Аудит пользователей, групп, базы данных паролей
sudo auditctl -w /etc/group -p wa -k etcgroupsudo auditctl -w /etc/passwd -p wa -k etcpasswdsudo auditctl -w /etc/gshadow -k etcgroupsudo auditctl -w /etc/shadow -k etcpasswdsudo auditctl -w /etc/security/opasswd -k opasswdsudo auditctl -w /etc/adduser.conf -k adduserconf
- Аудит изменений в файле Sudoers
sudo auditctl -w /etc/sudoers -p wa -k actions
- Аудит паролей
sudo auditctl -w /usr/bin/passwd -p x -k passwd_modificationsudo auditctl -w /usr/bin/gpasswd -p x -k gpasswd_modification
- Аудит изменения идентификаторов групп
sudo auditctl -w /usr/sbin/groupadd -p x -k group_modificationsudo auditctl -w /usr/sbin/groupmod -p x -k group_modificationsudo auditctl -w /usr/sbin/addgroup -p x -k group_modificationsudo auditctl -w /usr/sbin/useradd -p x -k user_modificationsudo auditctl -w /usr/sbin/usermod -p x -k user_modificationsudo auditctl -w /usr/sbin/adduser -p x -k user_modification
- Аудит конфигурации и входов
sudo auditctl -w /etc/login.defs -p wa -k loginsudo auditctl -w /etc/securetty -p wa -k loginsudo auditctl -w /var/log/faillog -p wa -k loginsudo auditctl -w /var/log/lastlog -p wa -k loginsudo auditctl -w /var/log/tallylog -p wa -k login
- Отслеживание запуска определенного приложения
sudo auditctl -a exit,always -F path=/usr/bin/myapp -F perm=x -k myapp_execution
- Отслеживание системных вызовов
sudo auditctl -a exit,always -F arch=b64 -S execve -F uid=0 -k authentication_eventssudo auditctl -a exit,always -F arch=b32 -S execve -F uid=0 -k authentication_events
- Отслеживание сетевых подключений
sudo auditctl -a exit,always -F arch=b64 -S bind -S connect -F success=0 -k network_events
- Запись в журнал аудита при подключении устройства USB
sudo auditctl -w /dev/bus/usb -p rwxa -k usb
Рекомендации к заполнению карточки:
- Привяжите созданный актив типа групповые политики к данной защитной мере в качестве инструмента.
- Создайте шалон регулярной задачи "проверка актуальности и корректности настройки аудита и применения групповых политик на серверах и рабочих станциях".
Область действия: Вся организация
Классификация
Тип
Техническая
?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Настройка регистрации событий безопасности в операционных системах Linux
Последующие меры
| № | Этап 1 | Этап 2 | |||
|---|---|---|---|---|---|
| 1 | Внедрение системы централизованного сбора событий информационной безопасности (SIEM) | Утверждение Регламента выявления компьютерных инцидентов и реагирования на них | |||
| 2 | Внедрение системы централизованного сбора событий информационной безопасности (SIEM) | Утверждение Регламента аудита безопасности в объектах КИИ | |||
| 3 | Внедрение системы централизованного сбора событий информационной безопасности (SIEM) | Утверждение Регламента регистрации событий безопасности в ИС | |||
| 4 | Внедрение системы централизованного сбора событий информационной безопасности (SIEM) | Формирование отчета о событиях ИБ в инфраструктуре |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.