Конфигурация аудита в RedHat/CentOS server
В этой статье описывается детальная информация о конфигурировании аудита в “RedHat Linux Enterprise” (далее ПО) при помощи Linux Audit Framework (LAF) для последующего анализа данных событий аудита решением QRadar SIEM.
- Настройки демона auditd
Для получения событий аудита системой QRadar SIEM, необходимо сконфигурировать настройки демона аудита auditd на целевой системе:
- Модифицируйте содержимое файла управления подсистемой аудита /etc/audit/auditd.conf таким образом, чтобы он содержал следующие строки (оставьте другие значения установленными по умолчанию):
Файл /etc/audit/auditd.conf |
# This file controls the configuration of the audit daemon # log_file = /var/log/audit/audit.log log_format = RAW log_group = root priority_boost = 4 flush = INCREMENTAL freq = 20 num_logs = 5 disp_qos = lossy dispatcher = /sbin/audispd name_format = NONE ##name = mydomain max_log_file = 6 max_log_file_action = ROTATE space_left = 75 space_left_action = SYSLOG action_mail_acct = root admin_space_left = 50 admin_space_left_action = SUSPEND disk_full_action = SUSPEND disk_error_action = SUSPEND ##tcp_listen_port = tcp_listen_queue = 5 tcp_max_per_addr = 1 ##tcp_client_ports = 1024-65535 tcp_client_max_idle = 0 enable_krb5 = no krb5_principal = auditd ##krb5_key_file = /etc/audit/audit.key |
- Модифицируйте содержимое файла управления объектами аудита /etc/audit/audit.rules таким образом, чтобы он содержал следующие строки:
Файл /etc/audit/audit.rules |
# First rule — delete all -D # Increase the buffers to survive stress events. # Feel free to add below this line. See auditctl man page # Audit configuration changes # Identity management configuration changes # Identity management tools use # PAM configuration changes # Login logs changes # System configuration changes # System calls (exclude users without login UID) # Cron configuration changes # Critical directories changes |
При необходимости добавьте дополнительные объекты для мониторинга в соответствующие категории, используя шаблоны категорий.
2. Настройки демона RSyslog
Необходимо сконфигуровать демон rsyslog таким образом, чтобы в сообщениях использовался параметр hostname. Данный параметр служит для определения идентификатора источника событий (LSI). При использовании других syslog демонов, обратитесь к документации поставщика услуг для выполнения необходимых операций. Файл конфигурации для внесения изменений (каждая команда одной строкой): /etc/rsyslog. conf
Файл /etc/rsyslog. conf |
#### MODULES ####
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command) # Provides access to files # Provides UDP syslog reception # Provides TCP syslog reception #### GLOBAL DIRECTIVES #### # Use default timestamp format # File syncing capability is disabled by default. This feature is usually not required, # Include all config files in /etc/rsyslog.d/ #### RULES #### # Log all kernel messages to the console. # Log anything (except mail) of level info or higher. # The authpriv file has restricted access. # Log all the mail messages in one place. # Log cron stuff # Everybody gets emergency messages # Save news errors of level crit and higher in a special file. # Save boot messages also to boot.log # ### begin forwarding rule ### # Audit logging via syslog setup # Template for QRadar syslog message # Send local0.debug to QRadar |
<QRADAR_HOSTNAME> — имя хоста QRadar или его IP адрес.
Перезагрузите rsyslog:
service rsyslog restart
3. Настройка модуля ядра SELinux
Для успешного доступа к файлу аудита, модуль политики используемого демона RSyslog необходимо включить в системную политику операционной системы. Ниже приведен пример конфигурации модуля политики демона rsyslog для доступа к файлу аудита. При использовании других Syslog демонов, обратитесь к документации SELinux для выполнения необходимых операций.
1. Проверьте состояние SELinux, при помощи выполнения следующей команды в интерфейсе командной строки целевой системы:
sudo sestatus
Пример вывода при включенном состоянии:
# SELinux status: enabled
2. Скопируйте следующие файлы (rhel_audit_baseline):
rsyslogd.pp – Модуль политики демона rsyslog
rsyslogd.te – Тип принуждения модуля политики демона rsyslog
в любой доступный каталог по усмотрению на целевую систему, например, в домашний каталог пользователя.
3. Перейдите в каталог, куда были скопированы файлы поставки и установите модуль политики демона rsyslog при помощи выполнения следующей команды в интерфейсе командной строки:
sudo semodule -i rsyslogd.pp
4. Убедитесь в успешной установке модуля политики демона rsyslog при помощи выполнения следующей команды в интерфейсе командной строки:
sudo semodule –l | grep rsyslog
Пример вывода при успешной установке:
# rsyslogd 1.0
5. Перезапустите SELinux при помощи выполнения следующей команды в интерфейсе командной строки:
setenforce 0 && sleep 10 && setenforce 1