5.3. Аудит системных событий (auditd)

В ОС Linux, начиная с версии ядра 2.6, существует возможность журналировать такие события, как доступ к файлам и выполнение системных вызовов. Процесс организации аудита системных событий ОС Linux состоит из следующих действий:

1. Установка и настройка демона аудита (auditd).
2. Настройка правил аудита, удовлетворяющих заданным условиям.
3. Запуск демона аудита (auditd).
4. Анализ полученных данных и создание отчетов аудита.

По умолчанию системный аудит отключен. Для его активации необходимо настроить запуск ядра с параметром audit=1. Если данный параметр присутствует, а демон auditd не запущен, то события журналируются в файл /var/log/messages.
Для того чтобы использовать аудит, в системе необходимо установить пакет audit. Демон auditd позволяет системному администратору настраивать процесс аудита, а именно:

• Задавать отдельный файл для журналирования событий.
• Определять ротацию журнального файла событий.
• Задавать оповещения в случае переполнения журнала событий.
• Определять уровень детализации событий.
• Настраивать правила аудита.

В процессе своей работы демон auditd использует конфигурационный файл /etc/audit/auditd.conf. На каждой строке данного файла указываются соответствующие директивы, значения которых указываются после знака «=».

log_file = /var/log/audit/audit.log
log_format = RAW
priority_boost = 3
flush = incremental
freq = 20
num_logs = 4
dispatcher = /sbin/audispd
disp_qos = lossy
max_log_fi1e = 5
max_log_file_action = rotate
space_left = 75
space_left_action = syslog
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = suspend
disk_full_action = suspend
disk_error_action = suspend

Листинг 5.2. Значения по умолчанию для конфигурационного файла /etc/audit/auditd.conf

В директиве log_file указывается файл, куда будут журналироваться события. По умолчанию, таки м файлом является файл /var/log/audit/audit.log. В директиве log_format указывается формат данных, которые необходимо журанлировать. В случае указания значения RAW в данной директиве, события записываются в файл в том виде, в котором они поступают из ядра. В директиве flush определяется частота журналирования событий. Если для данной директивы указано значение INCREMENTAL, то очистка журнала определяется на основе директивы freq, в которой указывается количество записей, которые принимает демон auditd, прежде чем записать их в журнал.
Если в файле auditd.conf указана директива max_log_file_action со значением ROTATE, то журнальные файлы будут ротироваться, достигнув размера, заданного в директиве max_log_file (в Мб). В директиве num_logs определяется количество журнальных файлов, которые должны быть сохранены, прежде чем будет выполнена ротация данных.
В директиве dispatcher задается программа, которая обрабатывает все события аудита. Она может использоваться для формирования отчетов или конвертации журнала в формат, понимаемый другими программами анализа журнальных файлов. Директива disp_qos определяет параметры взаимодействия данной программы с демоном auditd. Если в данной директиве указано значение lossy, то события, посланные данной программе, удаляются, если буфер обмена данными между демоном auditd и данной программой полностью заполнен (по умолчанию размер данного буфера составляет 128Кб). Запись событий по-прежнему осуществляется, если в директиве log_format не указано значение nolog.
В директивах space_left и space_left_action задается, соответственно, предел свободного дискового пространства раздела, на котором располагаются данные аудита, и действие, которое нужно выполнить в случае превышения указанного предела. Если указано значение SYSLOG, то в журнал сервиса syslog будет записано соответствующее предупреждение. В директивах disk_full_action и disk_error_action указываются, соответственно, действие выполняемое в случае заполнения дискового пространства на разделе, содержащем журнальные файлы аудита, и действие выполняемое в случае обнаружения ошибки записи данных в журнальный файл или его ротации. По умолчанию, для данных директив задано значение SUSPEND, при котором следующие события записываться в журнальный файл аудита не будут, а действия, выполняемые в настоящий момент над журнальным фалом, завершатся.
Для настройки правил аудита системных вызовов и слежения за файлами и каталогами используется утилита auditctl. Если сервис auditd настроен на автозапуск, то правила аудита системных вызовов и слежения за объектами файловой системы можно задать в файле /etc/audit/audit.rules. Каждое правило аудита должно задаваться в отдельной строке. Форма записей правил и средств имеет вид аргументов командной строки для команды auditctl. Демон auditd считывает правила сверху вниз и если будет обнаружено два конфликтующих правила, то предпочтение будет отдано первому найденному правилу.
Каждая строка описания правила аудита системных вызовов имеет следующий синтаксис:

-а ,

В качестве параметра указывается список событий, в который добавляется данное правило. К таким спискам относятся списки task (используется для ведения событий, связанных с созданием процессов), user (используется для ведения событий, в которых указываются параметры пользовательского пространства, такие как uid, pid и gid), exclude (используется для запрета аудита указанных в данном списке событий), entry (используется для регистрации событий системных вызовов) и exit (используется для регистрации событий системных вызовов).
В качестве параметра указывается одно из действий, предпринимаемых по отношению к указанным в списках событиям. Доступно всего два действия: never и always. Пи указании действия never, события не записываются в журнал аудита. Указание действия always имеет противоположный эффект.
В параметре задаются опции, являющиеся фильтрами, при помощи которых можно детализировать события аудита. Полный список опций можно посмотреть в руководстве man для команды auditdctl. В качестве опций можно задавать уникальные идентификаторы пользователя или процесса, название системного вызова и многое другое. При этом, возможно использовать логические выражения для формирования комбинированных опций.
Добавлять правила в данный файл можно также при помощи команды auditdctl, используя ключ -а. При этом правила, добавляются в конец файла auditd.conf. Для того, чтобы добавить правило в начало данного файла, необходимо использовать ключ -А.

-a exit,always -s open -f uid=502 -f key=502open
-a entry,always -s chown

Листинг 5.3. Образец определения двух правил в файле auditd.conf.

В первом случае задается правило, которое фиксирует все события, связанные с системным вызовом open, выполняемым от пользователя с идентификатором 502. Записи, удовлетворяющие данному условию, помечаются в файле audit.log меткой 502ореп. Во втором случае задается правило, которое фиксирует все системные вызовы chown.

Когда заданное в правиле действие будет выполнено, результат его выполнения заносится в журнал /var/log/auidt/auidit.log.type=PATH msg=audit(1233260763.459:334): item=0 name="/etc/passwd" inode=852389 dev=08:02 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=SYSCALL msg=audit(1233260763.460:335): arch=40000003 syscall=5 success=yes exit=3 a0=928e350 al=8000 a2=0 a3=8000 items=l ppid=3529 pid=3551 auid=0 uid=502 gid=502 euid=502 suid=502 fsuid=502 egid=502 sgid=502 fsgid=502 tty=ptsl comm="vim" exe="/usr/bin/vim" key="502open"

Литинг 5.4. Записи данного журнала для первого из правил листинга 5.3.

Помимо слежения за системными вызовами, система аудита ОС Linux позволяет следить за доступом к файлам и каталогам. Для этого в файле auidt.rules необходимо создать правило имеющее следующий синтаксис:

-w -к

В параметре указывается полный путь к файлу или каталогу, за которым необходимо следить. Параметр -к используется для пометки всех событий, связанных с доступом указанному файлу. Это позволяет быстро находить интересующую информацию в журнальном файле. В следующем примере приведены два правила, в которых осуществляется слежение за файлами в каталоге /etc/sysconfig, а также слежение за доступом к команде iptables:

-w /etc/sysconfig -k sysconfig
-w /sbin/iptables -k iptables -p x

В ключах -k указываются соответствующие метки событий. Ключ -р х во втором правиле указанного примера обозначает, что необходимо рассматривать только события, связанные с выполнением данного файла.
Для управления правилами, помимо редактирования конфигурационного файла audit.rules, можно использовать команду auditctl. Для просмотра активных правил аудита необходимо выполнить команду auditctl -l. Для определения статуса системы аудита необходимо выполнить команду auditctl -s.
Обычно журнальный файл системы аудита событий ОС Linux можно просматривать при помощи любого текстового редактора. Однако для выполнения общего анализа событий требуется суммировать отдельные записи в данном файле, что практически нереально выполнить, используя только возможности текстового редактора. Для выполнения анализа и отображения статистики аудита событий в состав пакета audit входят утилиты ausearch и aureport. Утилита ausearch может выполнять поиск записей аудита на основе различных критериев поиска, таких как имя файла, идентификатор пользователя, название системного вызова и прочее. Утилита aureport используется для формирования отчетов на основе журнального файла аудита audit.log.
Для формирование более детального отчета необходимо выполнять команду aureport с использованием дополнительных ключей, который можно найти в руководстве man по данной команде. Например, для отображения статистики об измененных файлах, необходимо запустить команду aureport с ключом -с.
Система аудита позволяет следить за выполнением определенного процесса, используя утилиту autrace . Это особенно полезно при поиске проблем в работе различных демонов.