Invio dei log di controllo al server SYSLOG


13

Sto eseguendo diversi sistemi basati su RHEL che utilizzano la funzionalità di controllo all'interno del kernel 2.6 per tenere traccia delle attività dell'utente e ho bisogno che questi registri vengano inviati ai server SYSLOG centralizzati per il monitoraggio e la correlazione degli eventi. Qualcuno sa come raggiungere questo obiettivo?


A parte ciò, raccomando di consultare il benchmark CIS per RHEL 5.0 / 5.1 per alcuni consigli su come rendere più utile auditd.
Scott Pack,

@packs - Hai un link a portata di mano? Sono interessato ..
Aaron Copley,

1
@Aaron - Puoi iniziare qui cisecurity.org/en-us/?route=downloads.multiform . A meno che la tua organizzazione non sia membro, accetterai la licenza.
Scott Pack,

@packs - Grazie! Ecco perché non sono riuscito a trovarlo così facilmente. (Dovrò registrarmi.)
Aaron Copley,

Risposte:


9

Modifica: 17/11/14

Questa risposta potrebbe ancora funzionare, ma nel 2014 l' utilizzo del plug-in Audisp è la risposta migliore.


Se stai eseguendo il server stock ksyslogd syslog non so come farlo. Ma ci sono ottime istruzioni per farlo con rsyslog sul loro Wiki . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Riassumo:

  • Sul client di invio ( rsyslog.conf):

    # auditd audit.log  
    $ InputFileName /var/log/audit/audit.log  
    $ InputFileTag tag_audit_log:  
    $ InputFileStateFile audit_log  
    $ InputFileSeverity informazioni  
    $ InputFileFacility local6  
    $ InputRunFileMonitor
    

    Si noti che il imfilemodulo dovrà essere stato precedentemente caricato nella configurazione rsyslog. Questa è la linea responsabile di ciò:

    $ ModLoad imfile

    Quindi controlla se è nel tuo rsyslog.conffile. Se non è presente, aggiungilo nella ### MODULES ###sezione per abilitare questo modulo; in caso contrario, la configurazione precedente per la registrazione di auditd non funzionerà.

  • Sul server ricevente ( rsyslog.conf):

    $ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
    local6. *
    

Riavvia il servizio ( service rsyslog restart) su entrambi gli host e dovresti iniziare a ricevere auditdmessaggi.


Sfortunatamente, (ma per una ragione accettabile) syslog non è un'opzione di output con auditd, quindi devi farlo in questo modo.
Scott Pack,

Cordiali saluti, per chiunque lo stia configurando, la riga di configurazione richiesta per caricare imfile è: "$ ModLoad imfile" Ulteriori informazioni sul modulo sono disponibili qui: rsyslog.com/doc/imfile.html
syn-

1
Se ci si trova su un server di produzione / occupato e si inviano i registri, questo non è un modo efficace di fare questo ... imfile utilizza il polling, per cui lo spreco di cicli della cpu sempre per guardare il file ..
Arenstar

14

Il metodo più sicuro e corretto è utilizzare il plug-in syslog audispd e / o audisp-remote .

Per farlo funzionare rapidamente puoi modificare /etc/audisp/plugins.d/syslog.conf . RHEL lo include per impostazione predefinita, sebbene sia disabilitato. È necessario modificare solo una riga per abilitarlo, attivo = sì .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Ma questo non è molto sicuro per impostazione predefinita; syslog è un protocollo non sicuro alla sua base, non crittografato, non autenticato e nelle sue specifiche UDP originali, completamente inaffidabile. Memorizza anche molte informazioni in file non sicuri. Il sistema di controllo Linux gestisce informazioni più sensibili di quelle normalmente inviate a syslog, quindi è una separazione. audisp-remote fornisce anche l'autenticazione e la crittografia Kerberos, quindi funziona bene come trasporto sicuro. Usando audisp-remote, invieresti messaggi di audit usando audispd a un server audisp-remote in esecuzione sul tuo server syslog centrale. Audisp-remote userebbe quindi il plug-in syslog audispd per inserirli nel dameon syslog.

Ma ci sono altri metodi! rsyslog è molto robusto! rsyslog offre anche la crittografia Kerberos, oltre a TLS. Assicurati solo che sia configurato in modo sicuro.


Ci sono problemi di sicurezza con l'audisp inoltro a un server rsyslog locale, quindi con il server rsyslog locale inoltro a un server rsyslog aggregatore remoto (usando TLS?)
2rs2ts

3

Puoi accedere direttamente a syslog usando audisp, fa parte del pacchetto Audit. In Debian (non ho ancora provato in altre distro) modifica in:

/etc/audisp/plugins.d/syslog.conf

e impostare active=yes.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.