Auditd trong Linux Audit: Công cụ giám sát hệ thống CentOS/RHEL hiệu quả

Linux Audit là một hệ thống theo dõi và ghi nhận các sự kiện liên quan đến bảo mật trên hệ điều hành Linux. Nó cho phép quản trị viên giám sát các hành vi như truy cập tệp tin, thay đổi quyền, hoạt động xác thực và nhiều hành động khác để đảm bảo tính toàn vẹn và an toàn cho hệ thống. Trong bài viết này mình sẽ giới thiệu về Linux Audit một cách chi tiết nhất.

Những điểm chính

• Auditd là gì: Hiểu được khái niệm Auditd, vai trò của nó trong việc giám sát và ghi nhận các hoạt động trên hệ thống Linux.
• Tầm quan trọng của Linux Audit: Nhận thức được lý do tại sao Linux Audit đóng vai trò quan trọng trong bảo mật và tuân thủ hệ thống.
• Các thành phần trong hệ thống Linux Audit: Nắm được các thành phần chính của Linux Audit và cách chúng phối hợp để theo dõi hoạt động hệ thống.
• Tổng quan các quy tắc Audit: Biết được cách quy tắc audit hoạt động và cách sử dụng chúng để kiểm soát những gì cần giám sát trên hệ thống.
• Các ví dụ về quy tắc audit bằng Auditd File System Rules: Học được cách viết và áp dụng các quy tắc audit trên hệ thống tệp tin một cách thực tế và dễ hiểu.
• Cách đặt các quy tắc Auditd sử dụng tiện ích Auditctl: Làm quen với công cụ Auditctl để tạo, quản lý và kiểm soát các quy tắc kiểm toán một cách linh hoạt.
• Các file log của Auditd: Biết được vị trí và cách đọc các file log được ghi lại bởi Auditd để theo dõi và phân tích hoạt động của hệ thống.
• Biết thêm Vietnix là nhà cung cấp dịch vụ lưu trữ uy tín, chất lượng.
• Câu hỏi thường gặp: Tìm được lời giải đáp cho các thắc mắc phổ biến liên quan đến Auditd như cách cài đặt, đọc log, hoặc khôi phục cấu hình khi gặp lỗi.

Auditd là gì?

Auditd (Audit Daemon) là một thành phần cốt lõi trong Linux Audit Framework, được thiết kế để theo dõi và ghi lại các hoạt động liên quan đến bảo mật trên hệ thống. Trên các hệ điều hành như CentOS và RHEL, Auditd thường được sử dụng như một công cụ chính để thực hiện việc kiểm toán hệ thống.

Auditd hoạt động dựa trên các quy tắc được cấu hình từ trước, cho phép nó thu thập một lượng lớn dữ liệu về các sự kiện diễn ra trong hệ thống. Mỗi sự kiện được ghi lại đều chứa nhiều thông tin quan trọng như: Thời gian xảy ra, loại sự kiện, kết quả của sự kiện, người dùng thực hiện, cùng với các chi tiết cụ thể về tệp tin hoặc tài nguyên bị tác động.

Ngoài việc ghi nhận các thao tác chỉnh sửa tệp tin, truy cập cơ sở dữ liệu hay hoạt động xác thực qua PAM, LDAP, SSH,… Auditd còn có thể phát hiện những thay đổi trong tập tin cấu hình audit, truy cập trái phép vào file log, hay các nỗ lực nhập/xuất dữ liệu bất thường từ hệ thống.

Tất cả các thông tin trên được lưu lại dưới dạng log, phục vụ cho mục đích giám sát, phân tích và điều tra sau này. Nhờ khả năng theo dõi chi tiết và chính xác, Auditd trở thành công cụ không thể thiếu đối với quản trị viên hệ thống trong việc đảm bảo an ninh và tuân thủ trên nền tảng Linux.

Tầm quan trọng của Linux Audit

Linux Audit đóng vai trò trung tâm trong việc bảo vệ và giám sát hệ thống nhờ khả năng kiểm soát và ghi nhận toàn bộ hoạt động nội bộ – từ người dùng cho đến tiến trình. Không giống các phần mềm giám sát bên ngoài, hệ thống Audit hoạt động độc lập, không cần tải thêm chương trình, giúp đảm bảo tính tự chủ và an toàn. Nhờ khả năng theo dõi mọi hành vi xảy ra trên hệ thống, Linux Audit trở thành công cụ đắc lực trong việc:

• Phát hiện các nguy cơ tiềm ẩn hoặc hành vi bất thường trong hệ thống.
• Hỗ trợ phân tích và điều tra khi có sự cố bảo mật xảy ra (forensics).
• Hoạt động như một hệ thống phát hiện xâm nhập (IDS), hoặc kết hợp cùng các IDS khác để nâng cao hiệu quả bảo mật.

Với các đặc điểm đó, Linux Audit không chỉ là công cụ theo dõi thông thường mà còn là thành phần thiết yếu trong chiến lược bảo mật tổng thể của bất kỳ hệ thống CentOS/RHEL nào.

Các thành phần trong hệ thống Linux Audit

Hệ thống Linux Audit bao gồm hai thành phần chính: Các ứng dụng ở tầng user-space (user-space applications) và hệ thống xử lý ở tầng kernel (kernel-side). Hai phần này phối hợp với nhau để giám sát, thu thập và ghi lại các hoạt động của hệ thống theo thời gian thực.

• Kernel-side: Hệ thống xử lý sự kiện

Phần kernel-side đóng vai trò như một tầng tiếp nhận các yêu cầu từ user-space và xử lý chúng thông qua ba loại bộ lọc: User, Task, Exit hoặc Exclude. Các bộ lọc này quyết định những sự kiện nào sẽ được auditd ghi nhận hoặc bỏ qua, dựa trên các quy tắc (rules) đã được thiết lập trước đó.

• User-space: Các tiện ích và daemon quan trọng

Thành phần quan trọng nhất trong user-space là audit daemon (auditd). Auditd chịu trách nhiệm chính trong việc thu thập thông tin sự kiện được gửi từ kernel, dựa vào các quy tắc đã được cấu hình. Các dữ liệu này sẽ được ghi lại vào log file tại:

/var/log/audit/audit.log

Ngoài ra, còn có audispd, một daemon làm nhiệm vụ chuyển tiếp (multiplexor), cho phép gửi sự kiện audit đến các chương trình khác để xử lý theo thời gian thực. Đây là thành phần không thể thiếu nếu bạn muốn tích hợp audit với các hệ thống phân tích log hoặc hệ thống giám sát tập trung.

• Các công cụ dòng lệnh quan trọng trong user-space:

Để quản lý và tương tác với hệ thống audit, Linux cung cấp nhiều tiện ích dòng lệnh hỗ trợ:

• auditctl: Dùng để quản lý và thiết lập các quy tắc audit trực tiếp trên kernel.
• ausearch: Dùng để tìm kiếm các log liên quan đến sự kiện cụ thể trong audit log.
• aureport: Dùng để tạo báo cáo thống kê từ các log đã thu thập.

Cài đặt và cấu hình Auditd trên RHEL/CentOS: Đầu tiên, bạn hãy kiểm tra xem các gói liên quan đến audit đã được cài đặt hay chưa:

# rpm -qa | grep audit
audit-libs-python-2.7.6-3.el7.x86_64
audit-2.7.6-3.el7.x86_64
audit-libs-2.7.6-3.el7.x86_64

Nếu chưa cài đặt, bạn hãy chạy lệnh sau với quyền root để cài đặt:

# yum install audit

Tiếp theo, bạn kiểm tra xem auditd đã được kích hoạt và đang chạy hay chưa:

• Trên CentOS/RHEL 7:

# systemctl is-enabled auditd
# systemctl status auditd
# systemctl start auditd      # Start
# systemctl enable auditd     # Enable

• Trên CentOS/RHEL 6:

# service auditd status
# service auditd start        # Start
# chkconfig auditd on         # Enable

Cấu hình auditd với file cấu hình /etc/audit/auditd.conf. Đây là file cấu hình chính để kiểm soát cách thức hoạt động của auditd, bao gồm vị trí log, định dạng, tần suất ghi log, cách xử lý khi đầy ổ đĩa và nhiều thiết lập khác. Bạn chỉnh sửa file bằng lệnh:

# vi /etc/audit/auditd.conf

Nội dung ví dụ trong file cấu hình như sau:

# This file controls the configuration of the audit daemon
local_events = yes
write_logs = yes
log_file = /var/log/audit/audit.log
log_group = root
log_format = RAW
flush = INCREMENTAL_ASYNC
freq = 50
max_log_file = 8
num_logs = 5
priority_boost = 4
disp_qos = lossy
dispatcher = /sbin/audispd
name_format = NONE
##name = mydomain
max_log_file_action = ROTATE
space_left = 75
space_left_action = SYSLOG
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = SUSPEND
disk_full_action = SUSPEND
disk_error_action = SUSPEND
use_libwrap = yes
##tcp_listen_port = 
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
enable_krb5 = no
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key
distribute_network = no

Một số thiết lập bạn cần đặc biệt lưu ý:

• log_file: Vị trí lưu log.
• max_log_file: Dung lượng tối đa cho một log file.
• disk_full_action: Hành động khi ổ đĩa đầy.
• max_log_file_action: Hành động khi log đạt kích thước tối đa.

Những cấu hình này giúp đảm bảo hệ thống audit hoạt động ổn định, không gây ra tình trạng đầy ổ cứng hoặc mất log quan trọng trong quá trình giám sát.

Tổng quan các quy tắc Audit

Auditd hoạt động dựa trên các quy tắc (rules) được cấu hình để chỉ định những hành vi nào cần được giám sát trên hệ thống. Các quy tắc này giúp kernel xác định thông tin nào cần ghi lại và gửi về cho Audit Daemon xử lý. Bạn có thể xem đây là phần trung tâm trong hoạt động kiểm toán hệ thống của Linux Audit Framework. Các quy tắc được định nghĩa chủ yếu bằng cách sử dụng tiện ích auditctl hoặc thông qua các file cấu hình khởi động như:

/etc/audit/rules.d/audit.rules

Khi khởi động hệ thống, các quy tắc này sẽ được load tự động để đảm bảo giám sát được thực hiện ngay từ đầu.

1. Phân loại quy tắc Audit: Có 3 loại quy tắc chính mà bạn cần nắm:

• Control Rules: Dùng để điều chỉnh hành vi hoạt động của hệ thống audit. Các quy tắc này kiểm soát các tham số như kích thước bộ đệm, mức độ nghiêm trọng khi lỗi xảy ra, tốc độ tạo log…
• File System Rules: Giúp theo dõi hoạt động trên các tập tin hoặc thư mục cụ thể. Ví dụ như giám sát quyền truy cập, chỉnh sửa, xóa hoặc tạo mới file.
• System Call Rules: Cho phép ghi lại các lời gọi hệ thống (syscall), tức là những thao tác mà chương trình thực hiện trên hệ thống như mở file, thay đổi quyền, khởi tạo tiến trình…

Để chỉnh sửa hoặc thêm mới quy tắc, bạn có thể mở file cấu hình quy tắc như sau:

vi /etc/audit/rules.d/audit.rules

2. Ví dụ về Control Rules: Dưới đây là ví dụ cụ thể về cách đặt các control rule trong tệp cấu hình:

-D          # Xóa tất cả các quy tắc hiện có
-b 3074     # Đặt kích thước buffer cho Auditd
-f 4        # Panic nếu auditd gặp lỗi (mức độ nghiêm trọng 4)
-r 120      # Giới hạn 120 bản ghi audit mỗi giây

Các dòng này sẽ đảm bảo hệ thống audit hoạt động ổn định, có khả năng ghi nhận đủ thông tin mà không gây quá tải hệ thống hoặc mất dữ liệu audit trong tình huống khẩn cấp.

Các ví dụ về quy tắc audit bằng Auditd File System Rules

Trong hệ thống Linux, việc sử dụng Auditd để giám sát các tập tin và thư mục quan trọng là một phần không thể thiếu để đảm bảo tính bảo mật. Bạn có thể cấu hình các quy tắc kiểm soát file thông qua cú pháp sau:

-w /path/to/file/or/directory -p permissions -k key_name

1. Các tham số trong quy tắc:

• -w: Chỉ định một file hoặc thư mục mà bạn muốn theo dõi.
• -p: Quyền truy cập đối với file hoặc thư mục. Các quyền bao gồm:
  • r: Quyền đọc.
  • w: Quyền chỉnh sửa.
  • x: Quyền thực thi.
  • a: Quyền thay đổi thuộc tính của file hoặc thư mục.
• -k: Thiết lập một chuỗi tùy chọn (key) để nhận diện quy tắc audit đã tạo ra log.

Quy tắc này cho phép bạn giám sát các sự kiện liên quan đến các thay đổi trong các tập tin hệ thống quan trọng. Ví dụ, bạn có thể tạo các quy tắc để giám sát sự thay đổi trong các file cấu hình quan trọng của hệ thống như sau:

-w /etc/passwd -p wa -k passwd_changes
-w /etc/group -p wa -k group_changes
-w /etc/sudoers -p wa -k sudoers_changes

Trong các ví dụ trên:

• /etc/passwd: Tập tin lưu trữ thông tin người dùng hệ thống.
• /etc/group: Tập tin chứa thông tin về các nhóm người dùng.
• /etc/sudoers: Tập tin cấu hình quyền hạn của người dùng đối với lệnh sudo.

Mỗi quy tắc được tạo ra sẽ ghi nhận các thay đổi hoặc sự thay đổi về thuộc tính trong các tập tin trên. Việc sử dụng các -p wa trong quy tắc sẽ giúp bạn giám sát cả việc viết và thay đổi thuộc tính của các tập tin này.

2. Ví dụ về Auditd System Call Rules:

Ngoài việc theo dõi các tập tin, bạn cũng có thể đặt các quy tắc liên quan đến system calls. Dưới đây là cú pháp để thiết lập một quy tắc cho system call:

-a action,filter -S system_call -F field=value -k key_name

3. Các tham số trong quy tắc:

• action: Có hai lựa chọn, always hoặc never.
• filter: Chỉ định bộ lọc kernel rule phù hợp (task, exit, user và exclude) cho event này.
• system_call: Tên của system call mà bạn muốn giám sát.
• field: Tùy chọn bổ sung như kiến trúc, PID, GID,… có thể được sử dụng để sửa đổi rule.

Ví dụ về các quy tắc liên quan đến thời gian và cấu hình hệ thống:

-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
-a always,exit -S sethostname -S setdomainname -k system_locale

Các quy tắc này sẽ giám sát các hệ thống gọi liên quan đến việc thay đổi thời gian (adjtimex, settimeofday) và các thay đổi về cấu hình hệ thống như thay đổi tên máy chủ (sethostname, setdomainname).

4. Cấu hình đầy đủ cho các quy tắc Auditd:

Cuối cùng, bạn có thể cấu hình các quy tắc của mình trong file cấu hình như sau:

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
-b 3074        #define buffer size
-f 4           #panic on failure
-r 120         #create at most 120 audit messages per second
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# File monitoring rules
-w /etc/passwd -p wa -k passwd_changes
-w /etc/group -p wa -k group_changes
-w /etc/sudoers -p wa -k sudoers_changes
# Feel free to add below this line. See auditctl man page
-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
-a always,exit -S sethostname -S setdomainname -k system_locale
-e 1    #enable auditing

Như vậy, việc thiết lập các quy tắc bằng Auditd giúp giám sát hoạt động của hệ thống một cách hiệu quả, từ các thay đổi trong các tập tin cấu hình cho đến các thay đổi hệ thống quan trọng, đồng thời giúp bạn có thể dễ dàng truy vết khi có sự cố xảy ra.

Cách đặt các quy tắc Auditd sử dụng tiện ích Auditctl

Để cấu hình và quản lý các quy tắc trong Auditd, bạn có thể sử dụng tiện ích auditctl. Đây là công cụ giúp thay đổi cấu hình của Auditd ngay cả khi nó đang chạy mà không cần phải khởi động lại dịch vụ. Bằng cách này, bạn có thể linh hoạt áp dụng và thay đổi các quy tắc để giám sát các sự kiện trong hệ thống. Dưới đây là cách sử dụng auditctl để đặt và quản lý các quy tắc:

• Liệt kê các quy tắc đã tải: Để xem các quy tắc hiện tại đã được tải vào Auditd, bạn sử dụng lệnh bên dưới – Lệnh này sẽ hiển thị danh sách tất cả các quy tắc đang được áp dụng trên hệ thống:

# auditctl -l

• Thêm quy tắc giám sát tệp: Để giám sát các tệp quan trọng, bạn có thể thêm quy tắc để theo dõi các sự thay đổi của các tệp hệ thống, ví dụ như /etc/passwd, /etc/group, và /etc/sudoers. Các lệnh sau đây sẽ giúp bạn thêm các quy tắc:

# auditctl -w /etc/passwd -p wa -k passwd_changes
# auditctl -w /etc/group -p wa -k group_changes
# auditctl -w /etc/sudoers -p wa -k sudoers_changes

Trong đó:

• -w: Chỉ định tệp cần theo dõi.
• -p: Đặt quyền theo dõi (ví dụ: wa cho “write” và “attribute change”).
• -k: Thêm một khóa cho quy tắc để dễ dàng tìm kiếm sự kiện trong các log sau này.

• Liệt kê lại các quy tắc đã thêm: Sau khi thêm quy tắc, bạn có thể kiểm tra lại bằng cách chạy:

# auditctl -l

Điều này sẽ giúp bạn xác nhận xem các quy tắc đã được áp dụng thành công hay chưa. Nhờ vào công cụ auditctl, bạn có thể quản lý hiệu quả các quy tắc kiểm tra và giám sát hệ thống, từ đó bảo mật hệ thống Linux của mình tốt hơn.

Các file log của Auditd

Auditd ghi lại tất cả các log audit vào file /var/log/audit/audit.log theo mặc định. Những file log này chứa thông tin chi tiết về các sự kiện xảy ra trên hệ thống, giúp người quản trị có thể theo dõi và phân tích hoạt động của các tài nguyên. Để hiểu định dạng các log này, bạn sẽ kiểm tra sự kiện được ghi lại sau khi áp dụng một quy tắc (rule). Giả sử, bạn tạo một rule kiểm tra các hoạt động trên thư mục /backups/sec/:

# auditctl -w /backups/sec/ -p rwa -k sec

Sau khi tạo rule, bạn có thể di chuyển vào thư mục và thực hiện một số lệnh để tạo sự kiện:

$ cd /backups/sec/  
$ ls

Kết quả sẽ tạo ra các log có dạng như sau:

type=SYSCALL msg=audit(1507890621.627:4111): arch=c000003e syscall=191 success=no exit=-61 a0=7ffd780c37d0 a1=7fc5166fc114 a2=7ffd780c3790 a3=14 items=1 ppid=30544 pid=21816 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=1 comm="ls" exe="/usr/bin/ls" key="sec"  
type=CWD msg=audit(1507890621.835:4112): cwd="/backups/sec"  
type=PATH msg=audit(1507890621.835:4112): item=0 name="." inode=46147860 dev=fd:01 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL

Trong các sự kiện này, bạn có thể thấy có ba kiểu log chính:

1. Kiểu SYSCALL: Đây là kiểu log ghi lại thông tin về một syscall (lệnh hệ thống) được thực hiện, ví dụ như lệnh ls trong trường hợp này. Các trường quan trọng bao gồm syscall, pid, ppid, và các tham số liên quan đến lệnh đã thực thi.
2. Kiểu CWD: Log này ghi lại thông tin về thư mục làm việc hiện tại (cwd), cho biết thư mục mà lệnh được thực thi. Ví dụ, trong trường hợp này, thư mục làm việc là /backups/sec.
3. Kiểu PATH: Loại log này cung cấp thông tin về tệp hoặc thư mục được truy cập, bao gồm các chi tiết như tên, inode, và quyền truy cập của tài nguyên.

Thông qua việc phân tích các log này, người quản trị hệ thống có thể hiểu rõ hơn về các hành vi của người dùng và hệ thống, từ đó đảm bảo an ninh và tuân thủ các quy định bảo mật.

Vietnix – Nhà cung cấp dịch vụ lưu trữ uy tín, chất lượng

Vietnix là nhà cung cấp dịch vụ hosting chất lượng cao, chuyên cung cấp giải pháp thuê VPS mạnh mẽ và linh hoạt. Nổi bật với dịch vụ VPS Linux tốc độ cao, truy cập cực nhanh và ổn định cho mọi nhu cầu sử dụng. Khách hàng được toàn quyền quản trị, dễ dàng tùy chỉnh cấu hình qua giao diện trực quan. Hệ thống backup tự động hàng tuần giúp bảo vệ dữ liệu tối ưu. Dịch vụ VPS tại Vietnix không chỉ an toàn mà còn tiết kiệm chi phí, mang lại hiệu suất cao và sự linh hoạt tuyệt vời cho các dự án của bạn!

Thông tin liên hệ:

• Hotline: 18001093
• Email: sales@vietnix.com.vn 
• Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh.
• Website: https://vietnix.vn/

Lời kết

Linux Audit giúp các quản trị viên nhanh chóng phát hiện những hành vi bất thường, từ đó đảm bảo an toàn cho dữ liệu và tài nguyên hệ thống. Việc hiểu rõ và triển khai đúng các quy tắc Audit sẽ giúp bạn tối ưu hóa công tác giám sát, phát hiện xâm nhập trái phép và duy trì sự ổn định cho môi trường Linux. Khi bạn áp dụng Linux Audit một cách hiệu quả sẽ tạo ra một lớp bảo mật vững chắc cho hệ thống, cảm ơn bạn đã theo dõi bài viết!