GNU/Linux >> Znalost Linux >  >> Linux

Odesílání protokolů auditu na server SYSLOG

Řešení 1:

Nejbezpečnější a nejsprávnější metodou je použití zásuvného modulu audispd syslog a/nebo audisp-remote.

Pro rychlé zprovoznění můžete upravit /etc/audisp/plugins.d/syslog.conf . RHEL toto standardně zahrnuje, i když je zakázáno. K aktivaci stačí změnit jeden řádek, aktivní =ano .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Ale to není ve výchozím nastavení příliš bezpečné; syslog je ve své základně nezabezpečený protokol, nešifrovaný, neověřený a ve své původní UDP specifikaci zcela nespolehlivý. Také ukládá mnoho informací do nezabezpečených souborů. Linux Audit System zpracovává citlivější informace, než jsou obvykle odesílány do syslogu, proto je oddělený. audisp-remote také poskytuje ověřování Kerberos a šifrování, takže funguje dobře jako zabezpečený přenos. Pomocí audisp-remote byste posílali auditní zprávy pomocí audispd na audisp-remote server běžící na vašem centrálním syslog serveru. audisp-remote by pak použil zásuvný modul audispd syslog, aby je vložil do dameonu syslog.

Ale jsou i jiné metody! rsyslog je velmi robustní! rsyslog také nabízí šifrování Kerberos a TLS. Jen se ujistěte, že je nakonfigurován bezpečně.

Řešení 2:

Upravit:17. 11. 2014

Tato odpověď může stále fungovat, ale v roce 2014 je použití pluginu Audisp lepší odpovědí.

Pokud máte spuštěný server syslog ksyslogd, nevím, jak to udělat. Ale existují skvělé pokyny, jak to udělat s rsyslog na jejich Wiki. ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Shrnu to:

  • Na odesílajícím klientovi (rsyslog.conf ):

    # auditd audit.log  
$InputFileName /var/log/audit/audit.log  
$InputFileTag tag_audit_log:  
$InputFileStateFile audit_log  
$InputFileSeverity info  
$InputFileFacility local6  
$InputRunFileMonitor

    Všimněte si, že imfile modul bude muset být načten dříve v konfiguraci rsyslog. Toto je řádek zodpovědný za to:

    $ModLoad imfile

    Zkontrolujte tedy, zda je ve vašem rsyslog.conf soubor. Pokud tam není, přidejte jej pod ### MODULES ### sekce pro aktivaci tohoto modulu; jinak výše uvedená konfigurace pro auditované protokolování nebude fungovat.

  • Na přijímajícím serveru (rsyslog.conf ):

    $template HostAudit, "/var/log/rsyslog/%HOSTNAME%/audit_log"  
local6.*

Restartujte službu (service rsyslog restart ) na obou hostitelích a měli byste začít přijímat auditd zprávy.

Řešení 3:

Můžete se přihlásit přímo do syslog pomocí audisp, je součástí balíčku Audit. V Debianu (v jiných distribucích jsem to ještě nezkoušel) upravte v:

/etc/audisp/plugins.d/syslog.conf

a nastavte active=yes .


Linux

  1. Jak nastavit Rsyslog Server na Debianu 11

  2. Nastavte SysLog Server na CentOS 6 / RHEL 6

  3. Nastavte centralizovaný server Rsyslog na CentOS 7

  1. Linux – odesílání textového vstupu na samostatnou obrazovku?

  2. Prohlédněte si protokoly agenta serveru MSSQL

  3. Použití protokolů serveru

  1. Jak nakonfigurovat server rsyslog tak, aby přijímal protokoly přes SSL/TLS

  2. (síť nedostupná) chyba v protokolech mého serveru

  3. Co je nástroj syslog pro auditované protokoly?