SAIKYO OS

SAIKYOOS

Безопасность

Аудит системы

Мониторинг и аудит безопасности в SAIKYO OS

Linux Audit Framework

SAIKYO OS включает auditd — подсистему аудита ядра Linux, которая отслеживает системные вызовы, доступ к файлам и другие события безопасности.

Управление службой

# Статус
sudo systemctl status auditd

# Запуск/остановка
sudo systemctl start auditd
sudo systemctl enable auditd

Просмотр логов аудита

# Все события
sudo ausearch -m ALL

# События за сегодня
sudo ausearch -ts today

# События входа в систему
sudo ausearch -m LOGIN

# Неудачные попытки входа
sudo ausearch -m USER_LOGIN -sv no

# По пользователю
sudo ausearch -ua username

# По файлу
sudo ausearch -f /etc/passwd

# Отчёт в читаемом формате
sudo aureport

# Отчёт по аутентификации
sudo aureport -au

# Отчёт по исполняемым файлам
sudo aureport -x

Правила аудита

Правила хранятся в /etc/audit/rules.d/

Мониторинг файлов

# Отслеживать изменения /etc/passwd
sudo auditctl -w /etc/passwd -p wa -k passwd_changes

# Отслеживать /etc/shadow
sudo auditctl -w /etc/shadow -p wa -k shadow_changes

# Отслеживать директорию
sudo auditctl -w /etc/ssh/ -p wa -k ssh_config

# Опции -p:
# r — чтение
# w — запись
# x — выполнение
# a — изменение атрибутов

Мониторинг системных вызовов

# Отслеживать выполнение команд от root
sudo auditctl -a always,exit -F arch=b64 -F euid=0 -S execve -k root_commands

# Отслеживать изменения времени
sudo auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change

# Отслеживать монтирование
sudo auditctl -a always,exit -F arch=b64 -S mount -S umount2 -k mounts

Постоянные правила

Создайте файл /etc/audit/rules.d/saikyo.rules:

# Мониторинг критических файлов
-w /etc/passwd -p wa -k identity
-w /etc/group -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/sudoers -p wa -k sudoers
-w /etc/sudoers.d/ -p wa -k sudoers

# SSH конфигурация
-w /etc/ssh/sshd_config -p wa -k sshd_config

# Системные службы
-w /etc/systemd/ -p wa -k systemd

# Cron
-w /etc/crontab -p wa -k cron
-w /etc/cron.d/ -p wa -k cron

# Загрузить правила
sudo augenrules --load

SAIKYO OS Audit

SAIKYO OS включает пакет saikyo-audit с предустановленными правилами аудита для соответствия требованиям безопасности.

# Проверка установки
dpkg -l | grep saikyo-audit

# Правила SAIKYO
ls /etc/audit/rules.d/saikyo*.rules

Анализ инцидентов

# Поиск по ключу
sudo ausearch -k passwd_changes

# Детальный вывод
sudo ausearch -k passwd_changes -i

# Экспорт в файл
sudo ausearch -k passwd_changes > /tmp/audit_report.txt

Интеграция с SIEM

Логи аудита можно отправлять в SIEM-системы:

  • Файл логов: /var/log/audit/audit.log
  • Формат: key=value пары
  • Интеграция через rsyslog или filebeat
Шифрование LUKS