bash审计系统搭建-基于CentOS操作系统

最新推荐文章于 2022-01-24 08:00:00 发布
最新推荐文章于 2022-01-24 08:00:00 发布
阅读量172 收藏
点赞数
文章标签: 大数据 操作系统 python
原文链接:https://my.oschina.net/guiguketang/blog/1860691
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

拓扑图:

step1:修改rsyslog.conf文件,重启rsyslogd服务
在需要监控bash审计的服务器修改rsyslog.conf文件(单机部署,如安装在142)
#/etc/init.d/rsyslog restart  //修改后重启命令
5cbc785c8cb702a2c2985a7fa502a18ccce.jpg

也可以使用saltstack工具完成多个客户节点bash文件部署及/etc/rsyslog.conf文件的修改>>>>>>
# salt -N clienta state.sls audit
(文末附salt工具部署脚本)

step2:logstash安装(安装在144)>>>>>>
主要任务:接收由各个监控节点发过来的bash审计日志,同时将这些日志发送给elasticsearch服务。


#wget https://artifacts.elastic.co/downloads/logstash/logstash-6.3.1.tar.gz
# tar -zxvf logstash-6.3.1.tar.gz

# pwd
/usr/local/soft/logstash-6.3.1/config
# vim bash.conf
input {
    syslog{  
        port => "3514"  
        type => "bash"
    }
    tcp {  
        port => "2514"  
        type => "network"
    }  
    udp {  
        port => "2514"  
        type => "network"
    }
}

 

output {
    if ([type] == "bash") {
        if "_grokparsefailure" not in [tags] {
            elasticsearch {
                hosts => "192.168.*.144:9200"
                index => "bash_%{+YYYY.MM.dd}"
            }
        }
    }
    elseif ([type] == "network") {
        if "_grokparsefailure" not in [tags] {
            elasticsearch {
                hosts => "192.168.*.144:9200"
                index => "network_%{+YYYY.MM.dd}"
            }       
        }
    }
    elseif ([type] == "ossec") {
        if "_grokparsefailure" not in [tags] {
            elasticsearch {
                hosts => "192.168.*.144:9200"
                index => "ossec_%{+YYYY.MM.dd}"
            }
        }
    }
}

启动logstash:

./bin/logstash -f /usr/local/soft/logstash-6.3.1/config/bash.conf &
日志位置:/usr/local/soft/logstash-6.3.1/logs/logstash-slowlog-plain.log


step3:安装elasticsearch>>>>>>
将审计日志生成elasticsear格式的索引文件

注意(安装在144):

1.不能以root用户进行启动,需要创建用户,并对解压的elasticsearch目录赋予此用户(如:admin)权限

2.安装成功后,只能telnet 127.0.0.1 9200可以通,需要修改elasticsearch.yml配置文件

增加或修改network.host处为:network.host: 0.0.0.0,重启后才可以是有ip加端口号的方式进行访问


#bin/elasticsearch
# curl http://127.0.0.1:9200
浏览器访问:192.168.*.144:9200
显示如下,则成功:
{
  "name" : "9sv4OVU",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "dEfYVoqhQUiW0U8GH2mi0A",
  "version" : {
    "number" : "6.3.1",
    "build_flavor" : "default",
    "build_type" : "tar",
    "build_hash" : "eb782d0",
    "build_date" : "2018-06-29T21:59:26.107521Z",
    "build_snapshot" : false,
    "lucene_version" : "7.3.1",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}
查看某一索引的内容,如bash_2019.05.27
http://ip.144:9200/bash_2019.05.27

step4:kibana安装(安装在144)>>>>>>
目的:可视化索引文件,便于日志查询及管理。

注意:kibana启动后也存在无法通过ip加端口号访问服务的情况

老方法,修改kibana.yml配置文件增加或修改为:server.host: "0.0.0.0"重启服务即可解决
c40d27de9e05433e4d7fd9ad9b8bf5bbfad.jpg


【异常】
kibana创建Index Patterns时,报如下异常:
blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];: [cluster_block_exception] blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];
【处理方式:】
#curl -XPUT -H "Content-Type: application/json" http://127.0.0.1:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'

【salt工具部署bash】
 

install_bash:
  cmd.run:
    - name: tar zxvf bash.tar.gz && cd bash && ./configure --prefix=/usr/local/bash && make && make install
    - cwd: /root/Downloads
    - unless: test -e /usr/local/bash/bin/bash
    - require:
      - file: /root/Downloads/bash.tar.gz

/root/Downloads/bash.tar.gz:
  file.managed:
    - source: salt://audit/bash.tar.gz
    - user: root
    - group: root
    - mode: 755
    - template: jinja
    - require:
      - file: /root/Downloads

bak_bash:
  cmd.run:
    - name: cp /bin/bash /bin/bashbak
    - unless: test -e /bin/bashbak
    - require:
      - cmd: install_bash

cp_bash:
  cmd.run:
    - name: \cp -f /usr/local/bash/bin/bash /bin/bash
    - require:
      - cmd: bak_bash

/etc/rsyslog.conf:
  file.append:
    - text: "local6.notice                                               @192.168.192.144:3514"

rsyslog:
  service.running:
    - enable: True
    - restart: True
    - watch:
      - file: /etc/rsyslog.conf


参考网址,官网
https://www.elastic.co/downloads/kibana
https://www.elastic.co/cn/downloads/logstash
https://www.elastic.co/downloads/elasticsearch
http://ftp.gnu.org/gnu/bash/

转载于:https://my.oschina.net/guiguketang/blog/1860691

weixin_34356310
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入理解bash 调用方式与配置文件,监控Linux上执行的命令,打造 Linux Shell 命令审计,可应用到各种Linux服务器系统如Debian、CentOS、Ubuntu、Redhat等等
代码讲故事
12-21 810
深入理解bash 调用方式与配置文件,监控Linux上执行的命令,打造 Linux Shell 命令审计,可应用到各种Linux服务器系统如Debian、CentOS、Ubuntu、Redhat等等。
Maxwell‘s Daemon 采集Mysql数据变更到Kafka构建数据库审计
gmHappy
02-06 543
一、前言 审计日志系统有很多应用场景,而不仅仅是存储用于审计目的的数据。除了合规性和安全性的目的之外,它还能够被市场营销团队使用,以便于锁定目标用户,也可以用来生成重要的告警。 数据库内置的审计日志功能可能并不够用,要处理所有的用户场景,它肯定不是理想的方式。 目前,有很多的开源工具,如Maxwell’s Daemons、Debezium,它们能够以最少的基础设施和时间需求支持这些需求。 Maxwell’s daemons 能够读取binlog并发送事件到各种生产者,比如Kafka、Amaz
React 代码质量及测试
weixin_40455124的博客
05-02 352
代码质量 代码规则:Eslint 及Eslint Plug-ins 基础: 初始化:执行npx eslint --init eslint-plugin-react is installed locally to the ./node_modules folder. These dependencies are automatically added to the package.json file. A configuration file, .eslintrc.json, is created and
实战中的快速代码审计
Ms08067安全实验室
01-24 1058
文章来源|MS08067 红队培训班 第5期本文作者:山(红队培训班5期学员)目录步骤一 获取源码 1. F12-开发者工具 2. 源码网站 3. 网站找盗版源码 4. 简单粗暴法...
Bash审计与命令记录
w18mc0431的专栏
08-10 3908
原出处:www.pointsoftware.ch/de/howto-bash-audit-command-logger/ 翻译并整理了一下,第一次翻译水平有限,多请见谅。 有一个完整的输入命令记录在很多情况下是非常有用的: 当几个管理员在同一台电脑上一起工作时,需要知道每个人做了什么 标准的.bash_history文件在某些情况下可能别用户删除,或者可以轻易绕过。 并且当很
Centos8操作系统入门视频.zip
最新发布
03-11
3-centos8操作系统安装-前期准备工作 4-配置centos8操作系统参数并自定义分区 5-操作系统重启后的相关配置 6-vmware虚拟机12个使用技巧 第2章-Linux基本命令操和文件管理 1-Linux终端介绍 Shell提示符 Bash Shell...
cis-benchmark-centOS-8:基于CIS-BENCHMARK CENTOS 8的审核脚本
05-11
cis-benchmark-centOS-8 基于CIS-BENCHMARK CENTOS 8 v1.0.0的审核脚本 操作说明 下载: git clone https://github.com/mrC2C/cis-benchmark-centOS-8.git 授予脚本的权限: chmod 750 cis-benchmark-centOS-8/...
Hadoop2.X/YARN环境搭建--CentOS7.0 JDK配置
09-10
搭建Hadoop2.X/YARN环境的过程中,CentOS7.0操作系统上的JDK配置是至关重要的一步,因为Hadoop是用Java编写的,它需要一个兼容的JDK环境才能正常运行。这里我们详细讲解如何在CentOS7.0上配置JDK。 首先,由于...
kylin麒麟操作系统上 SAN 的搭建
05-14
在本教程中,我们将详细探讨如何在Kylin麒麟操作系统搭建SAN(存储区域网络)。首先,了解SAN是一种高速网络技术,它允许不同存储设备间的直接通信,常用于大型企业环境以提供高效的数据存储和备份解决方案。 一...
解决ssh远程登陆linux显示-bash-4.1$的问题
01-10
以上就是小编为大家带来的解决ssh远程登陆linux显示-bash-4.1$的问题全部内容了,希望大家多多支持软件开发网~ 您可能感兴趣的文章:浅谈linux中shell变量$#,$@,$0,$1,$2的含义解释php $_SERVER windows系统与linux...
CentOS 7 下审计服务安装配置
老实人张大傻
08-24 2545
文章目录Audit 服务安装Audit 启动 && 开机启动配置 Audit 规则记录系统的日期和时间的修改记录用户和组的修改的事件记录网络环境修改时间记录登录和登出事件记录会话启动事件监视对文件权限、属性、所有权和组的更改记录未授权文件访问尝试收集成功挂载磁盘事件收集用户的文件删除事件收集对系统管理范围(sudoers)的更改收集内核模块加载和卸载收集使用特权命令参考 Audit 服务安装 [root@demo ~]# yum -y install audit audit-libs-dev
CentOS7日志审计
热门推荐
ezbuy的博客
07-16 1万+
写在前面的话: 最近公司在做等保,其中有审计的内容,因为第一次接触,所以在此粘贴在网上查找的各种资料,以作记录. 目录 一、用户空间审计系统简介 二、auditd配置文件 三、配置审计规则 四、审计日志内容 五、使用ausearch搜索审计日志 六、使用aureport查看审计报告 一、用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理...
【企业安全实战】运维Bash命令审计
Fly_鹏程万里
12-18 1403
0x01 概述 Bash命令收集主要是用于在没有堡垒机和跳板机情况下实现运维操作集中审计,另外就是针对一些攻击者入侵服务器后反弹Bash或者sh等做监控。这里提供两种通过Syslog收集的方式。 0x02 通过修改Bash源码发送Syslog 从bash4.1 版本开始,bash开始支持Rsyslog,下载bash-4.4,下载地址: https://ftp.gnu.org/gnu/bash...
Virink主讲的PHP代码审计实战视频课程
a18854483074的博客
12-05 1444
课程介绍 讲师Virink.,自称某草根Web狗,专注代码审计;师从度娘、谷歌还有P师傅等各个前辈大牛;单刷各大CTF线上赛的战五渣。 讲师结合自身的学习经验,设计了适合代码审计入门指导的课程《PHP代码审计实战》。在本课程中,第一二章系统的讲解代码审计入门的一些基础知识:代码审计环境的准备、代码审计的一般步骤、INI文件的安全配置、一些常见的危险函数、常用Web的漏洞类型、掌握相关审计工具的使用...
centos 日志审计_Linux\CentOS中auditd安全审计工具的使用
weixin_32943417的博客
01-17 1122
介绍Auditd工具可以帮助运维人员审计Linux。这个工具在大多数Linux操作系统中是默认安装的,是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。安装$apt-getinstallauditdor$yum-yinstallauditauditd-libs相关命令auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等$sudoaudit...
centos 日志审计_CentOS7日志审计
weixin_32999397的博客
01-17 1989
一、用户空间审计系统简介Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明:auditctl:即时控制审计守护进程的...
搭建ELK日志审计系统
橙子的博客
11-30 2025
一、安装Elasticsearch 1.下载解压elasticsearch [root@node-1 ~]# wget -P /opt https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.12.1-linux-x86_64.tar.gz [root@node-1 ~]# tar zxvf /opt/elasticsearch-7.12.1-linux-x86_64.tar.gz -C /usr/local/ [root@n
Centos8 使用auditd配置系统审计
Linuxprobe18的博客
01-03 491
导读 系统管理员使用审计来发现安全违规并跟踪其系统上的安全相关信息。根据预先配置的规则和属性,auditd 生成日志条目以记录有关系统上发生的事件信息。管理员使用此信息来分析安全策略出了什么问题,并通过采取其他措施进一步改进它们。 本文介绍如何安装、配置和管理审计服务。它还展示了如何定义审计规则、搜索审计日志和创建审计报告。 安装audit audit包默认安装在Centos8中。如果未安装,请使用以下命令添加: [root@localhost ~]# yum -y install au.
Springboot关于JPA的初始化过程
IT搬砖工在路上
09-17 1540
目录一、HibernateJpaAutoConfigurationHibernateJpaConfiguration 前言: 在使用Springboot的过程中,由于Springboot为我们做了大量的初始化配置工作,所以我们在使用的时候只需要进行少许的配置就能达到我们想要的目的, 但是也正因为如此,对于很多不了解其中原委的同学而言一旦配置有问题或者确实配置而报错,从何处开始排查问题便成为了一个困难,甚至当业务需求要求打破springboot的默认配置的时候时候,我们自定义的配置应该如何进行也会难到一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值