| Auditcontroleregels zijn een essentieel onderdeel van het Linux-beveiligingsframework. Audit Control-regels worden beheerd door auditd-configuratietools zoals auditctl en ausearch en stellen systeembeheerders in staat te specificeren wanneer en welke beveiligingsrelevante gebeurtenissen worden geregistreerd.
Hieronder vindt u een stapsgewijze handleiding voor het definiëren van auditcontroleregels in Rocky Linux 8:
1. Open het auditconfiguratiebestand
Om auditcontroleregels te openen en te wijzigen, moet u het auditconfiguratiebestand openen. Dit kan worden bereikt met behulp van een teksteditor met rootrechten. In dit voorbeeld gebruiken we de vi-teksteditor:
```
sudo vi /etc/audit/audit.rules
```
2. De syntaxis van auditcontroleregels begrijpen
In het audit.rules-bestand kom je regels tegen die in een specifiek formaat zijn uitgedrukt. Elke regel bestaat uit drie hoofdcomponenten:
a) Actie:Dit specificeert welke actie moet worden ondernomen als een regel voldoet. De twee veel voorkomende acties zijn 'toestaan' en 'weigeren'.
b) Veldspecificatie:Dit bepaalt welk aspect van de gebeurtenis wordt vergeleken met de regel. De veldspecificatie "comm" komt bijvoorbeeld overeen met de procesnaam, terwijl "key" overeenkomt met de specifieke sleutel.
c) Waardespecificatie:Dit is de waarde waarmee wordt vergeleken wanneer een gebeurtenis plaatsvindt. Dit kan een enkele waarde of een reguliere expressie zijn.
3. Een auditcontroleregel schrijven
Met kennis van de syntaxis van auditcontroleregels kunt u een nieuwe regel maken. Laten we als voorbeeld een regel maken die alle pogingen registreert om toegang te krijgen tot het bestand "/etc/passwd":
```
-w /etc/passwd -p wa -k pass_access
```
4. Uitleg van de aangepaste regel:
-w: Deze specificatie komt overeen met bestandsbewakingsgebeurtenissen, met name alle pogingen om het bestand te schrijven of te wijzigen.
-p: Deze specificatie richt zich op de toestemming en is ingesteld op 'wa', wat pogingen tot schrijftoegang aangeeft.
-k: Deze specificatie stelt de sleutel voor de regel in op 'pass_access', waardoor we eenvoudig kunnen zoeken naar gebeurtenissen die verband houden met deze specifieke regel.
5. Sla de auditconfiguratie op
Nadat u uw aangepaste regels heeft gemaakt, slaat u het bestand audit.rules op door op de Esc-toets te drukken, gevolgd door ":wq" om op te slaan en vi af te sluiten.
6. Start de Audit Daemon opnieuw
Om de nieuwe Audit Control Rules van kracht te laten worden, moet u de auditd-service opnieuw starten:
```
sudo service auditd opnieuw opstarten
```
7. Controleer de auditcontroleregels
U kunt verifiëren dat de auditcontroleregels met succes zijn geïmplementeerd door de opdracht ausearch te gebruiken:
```
ausearch -k pass_access
```
Met deze opdracht worden alle gebeurtenissen weergegeven die zijn geregistreerd volgens de "pass_access"-sleutel die u in uw aangepaste regel hebt opgegeven.
Conclusie
Auditcontroleregels in Rocky Linux 8 bieden systeembeheerders gedetailleerde controle over beveiligingsgerelateerde gebeurtenisregistratie. Door deze regels zorgvuldig op te stellen en te implementeren, kunt u een hoger niveau van systeembeveiliging en compliance bereiken. Houd altijd rekening met de specifieke vereisten van uw systeem en raadpleeg de officiële Rocky Linux-documentatie voor aanvullende informatie of geavanceerde gebruiksscenario's. |
