Wysyłanie dzienników kontroli na serwer SYSLOG

13

Używam kilku systemów opartych na RHEL, które wykorzystują funkcjonalność audytu w jądrze 2.6 do śledzenia aktywności użytkowników i muszę wysłać te dzienniki do scentralizowanych serwerów SYSLOG w celu monitorowania i korelacji zdarzeń. Czy ktoś wie, jak to osiągnąć?

linux syslog redhat audit syn-
źródło
Nawiasem mówiąc, zalecam sprawdzenie testu porównawczego CIS dla RHEL 5.0 / 5.1, aby uzyskać porady dotyczące zwiększenia przydatności audytu.
Scott Pack
@packs - Czy masz przydatny link? Jestem zainteresowany ..
Aaron Copley
1
@Aaron - możesz zacząć tutaj cisecurity.org/en-us/?route=downloads.multiform . O ile Twoja organizacja nie jest członkiem, zaakceptujesz licencję.
Scott Pack
@packs - Dzięki! Dlatego nie mogłem go tak łatwo znaleźć. (Będę musiał się zarejestrować.)
Aaron Copley

Odpowiedzi:

9

Edycja: 17.11.14

Ta odpowiedź może nadal działać, ale w 2014 r . Lepszym rozwiązaniem jest użycie wtyczki Audisp .

Jeśli korzystasz z podstawowego serwera ksyslogd syslog, nie wiem jak to zrobić. Są jednak świetne instrukcje dotyczące rsyslog na ich Wiki . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Podsumuję:

  • Na wysyłającym kliencie ( rsyslog.conf): 

    # auditd audit.log  
$ InputFileName /var/log/audit/audit.log  
$ InputFileTag tag_audit_log:  
$ InputFileStateFile dziennik kontroli  
$ InputFileSeverity informacje  
$ InputFileFacility local6  
$ InputRunFileMonitor

    Zauważ, że imfilemoduł będzie musiał zostać wcześniej załadowany do konfiguracji rsyslog. Jest to linia odpowiedzialna za to:

    Imfile $ ModLoad

    Więc sprawdź, czy jest w twoim rsyslog.confpliku. Jeśli go nie ma, dodaj go w ### MODULES ###sekcji, aby włączyć ten moduł; w przeciwnym razie powyższa konfiguracja rejestrowania kontrolowanego nie będzie działać.

  • Na serwerze odbierającym ( rsyslog.conf): 

    $ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
local6. *

Uruchom ponownie usługę ( service rsyslog restart) na obu hostach i powinieneś zacząć otrzymywać auditdwiadomości.

Aaron Copley
źródło
Niestety (ale z akceptowalnego powodu) syslog nie jest opcją wyjściową z auditd, więc musisz zrobić coś takiego.
Scott Pack
Tylko FYI dla każdego, kto konfiguruje to, wiersz konfiguracji wymagany do załadowania pliku imfile to: „$ ModLoad imfile” Więcej informacji na temat modułu można znaleźć tutaj: rsyslog.com/doc/imfile.html
syn-
1
Jeśli pracujesz na serwerze produkcyjnym / zajętym i wysyłasz dzienniki, nie jest to skuteczny sposób na zrobienie tego. Imfile wykorzystuje odpytywanie, dzięki czemu procesor marnuje cykl na oglądanie pliku.
Arenstar
14

Najbardziej bezpieczną i poprawną metodą jest użycie wtyczki syslog audispd i / lub audisp-remote .

Aby szybko go uruchomić , możesz edytować /etc/audisp/plugins.d/syslog.conf . RHEL zawiera to domyślnie, chociaż jest wyłączone. Aby go włączyć, musisz zmienić tylko jedną linię, active = yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Ale domyślnie nie jest to zbyt bezpieczne; syslog jest niezabezpieczonym protokołem u podstawy, niezaszyfrowanym, nieuwierzytelnionym, aw oryginalnej specyfikacji UDP całkowicie niewiarygodnym. Przechowuje również wiele informacji w niezabezpieczonych plikach. Linux Audit System obsługuje bardziej poufne informacje niż zwykle są wysyłane do syslog, stąd ich separacja. audisp-remote zapewnia również uwierzytelnianie i szyfrowanie Kerberos, dzięki czemu działa dobrze jako bezpieczny transport. Korzystając z audisp-remote, wysyłasz wiadomości audytu za pomocą audispd na serwer audisp-remote działający na centralnym serwerze syslog. Audisp-remote użyłby następnie wtyczki syslog audispd do wprowadzenia ich do dameon syslog.

Ale są też inne metody! rsyslog jest bardzo solidny! rsyslog oferuje również szyfrowanie Kerberos oraz TLS. Upewnij się tylko, że jest bezpiecznie skonfigurowany.

lamawithonel
źródło
Czy są jakieś obawy związane z bezpieczeństwem związane z przekazaniem audisp do lokalnego serwera rsyslog, a następnie przekazaniem lokalnego serwera rsyslog do zdalnego serwera rsyslog z agregatorem (za pomocą TLS?)
2rs2ts 22.04.16
3

Możesz zalogować się bezpośrednio do syslog za pomocą audisp, jest to część pakietu Audit. W Debianie (nie próbowałem jeszcze w innych dystrybucjach) edytuj w:

/etc/audisp/plugins.d/syslog.conf

i ustaw active=yes.

Diego Woitasen
źródło