Astra linux аудит безопасности

Введение

Для решения задач централизованного протоколирования и анализа журналов аудита, а также для организации распределенного мониторинга сети, жизнеспособности и целостности серверов в Astra Linux используется программное решение Zabbix, реализованное на web-сервере Apache, СУБД (MySQL, Oracle, PostgreSQL, SQLite) и языке сценариев PHP.

Zabbix предоставляет гибкий механизм сбора данных. Все отчеты и статистика Zabbix, а также параметры настройки компонентов Zabbix доступны через web-интерфейс. В web-интерфейсе реализован следующий функционал:

  • Вывод отчетности и визуализация собранных данных;
  • Создание правил и шаблонов мониторинга состояния сети и узлов;
  • Определение допустимых границ значений заданных параметров;
  • Настройка оповещений;
  • Настройка автоматического реагирования на события безопасности.

Архитектура

Zabbix состоит из следующих основных программных компонентов:

  • Сервер — является основным компонентом, который выполняет мониторинг, взаимодействует с прокси и агентами, вычисляет триггеры, отправляет оповещения. Является главным хранилищем данных конфигурации, статистики, а также оперативных данных;
  • Агенты — разворачиваются на наблюдаемых системах для активного мониторинга за локальными ресурсами и приложениями и для отправки собранных данных серверу или прокси;
  • Прокси — может собирать данные о производительности и доступности от имени сервера. Прокси является опциональной частью Zabbix и может использоваться для снижения нагрузки на сервер;
  • База данных — вся информация о конфигурации, а также собранные Zabbix данные, хранятся в базе данных;
  • Web-интерфейс — используется для доступа к Zabbix из любого места и с любой платформы.

Zabbix может использоваться с СУБД PostgreSQL или с СУБД MySQL. Выбор СУБД осуществляется при установке пакета
Установку пакета Zabbix можно осуществить с помощью графического менеджера пакетов (см. Графический менеджер пакетов synaptic) или из командной строки.

Установка пакета

Установка сервера Zabbix с СУБД PostgreSQL выполняется командой:

Создание базы данных

Для создания базы данных сервера используются сценарии по созданию базы данных для PostgreSQL, например:

Далее необходимо импортировать исходную схему и данные сервера на PostgreSQL:

Для настройки базы данных сервера откорректировать конфигурационный файл zabbix_server.conf:

При этом в параметре DBPassword указывается пароль пользователя PostgreSQL.

Основные параметры конфигурационного файла сервера приведены в таблице:

Читайте также:  N150 wireless adapter linux

Разрешение серверу запускаться от имени пользователя root.
Если запуск от имени root не разрешен (значение «0»), а сервер запускается от имени root, то сервер попробует переключиться на пользователя zabbix.
Если сервер запускается от имени обычного пользователя, то параметр игнорируется. Значение по умолчанию — 0.

Запуск сервера и управление сервером

Сервер работает как демон. Для запуска сервера выполнить команду:

Для нормальной работы сервера необходимо использовать региональные настройки с кодировкой UTF-8т (см. Добавление дополнительной региональной настройки и раскладки клавиатуры), иначе некоторые текстовые элементы данных могут интерпретироваться некорректно.

В следующей таблице приведены основные параметры, используемые при управлении сервером.

Путь к файлу конфигурации.
Значение по умолчанию /usr/local/etc/zabbix_server.conf.

Запуск процедуры очистки базы данных. Игнорируется, если процедура очистки выполняется в данный момент.
Пример:
zabbix_server -c /usr/local/etc/zabbix_server.conf -R housekeeper_execute

Агенты

Агенты устанавливаются на контролируемые компьютеры и могут выполнять пассивные и активные проверки:

  • При пассивной проверке агент отвечает на запрос от сервера или прокси;
  • При активной проверке агент получает от сервера перечень данных для мониторинга, затем осуществляет периодический сбор и отправку данных серверу согласно полученному перечню.

Выбор между пассивной и активной проверкой осуществляется выбором соответствующего типа элемента данных. Агент обрабатывает элементы данных типов > и >.

Установка и настройка агента в UNIX

Для установки агента в UNIX-системах выполнить команду:

Агент UNIX работает как демон, для запуска выполнить команду:

Для остановки, перезапуска и просмотра состояния агента UNIX используются стандартные команды systemct:

Установка и настройка агента в Windows

В среде Windows агент работает как служба Windows. Агент Windows распространяется в виде zip-архива.
Файл агента bin\win64\zabbix_agentd.exe и файл конфигурации conf\zabbix_agentd.win.conf из zip-архива необходимо скопировать в один каталог, например, в C:\zabbix.

При необходимости — откорректировать конфигурационный файл c:\zabbix\zabbix_agentd.win.conf.

Для установки агента Windows как службы используется следующая команда:

Основные параметры конфигурационного файла агента.

Основные параметры конфигурационного файла агента приведены в таблице:

Параметр Описание
AllowRoot Параметр используется только для агентов UNIX. Разрешение агенту запускаться от имени пользователя root. Если запускаться от имени root не разрешено (значение «0») , а агент запускается от имени root, то он попробует переключиться на пользователя zabbix. Если агент запускается от имени обычного пользователя, то параметр игнорируется. Значение по умолчанию — 0.
EnableRemoteCommands

Указывает, разрешены ли удаленные команды с сервера:

  • 0 — Не разрешены;
  • 1 — Разрешены.
  • file — запись журнала в файл, указанный в параметре LogFile;
  • system— запись журнала в syslog (для агентов UNIX) или в журнал событий Windows (для агентов Windows);
  • console — вывод журнала в стандартный вывод

Список IP-адресов или имен серверов, разделенных запятой.
Входящие соединения будут приниматься только с адресов, указанных в этом параметре.

  • unencrypted — принимать подключения без защитного преобразования данных (по умолчанию);
  • psk — принимать подключения с TLS и pre-shared ключом (PSK);
  • cert — принимать подключения с TLS и сертификатом

Обязательный параметр если заданы TLS-сертификат или параметры PSK, в противном случае — нет.
Как агент должен соединяться с сервером или прокси.
Используется активными проверками. Можно указать только одно из значений:

  • unencrypted — подключаться без использования защитного преобразования данных (по умолчанию);
  • psk — подключаться, используя TLS и pre-shared ключом (PSK);
  • cert — подключаться, используя TLS и сертификат

Управление агентом

Основные параметры, используемые при управлении агентом, приведены в таблице:

Источник

Настройка аудита

Все факты начала и окончания работы пользователя фиксируется в журнале /var/log/auth.log на клиентской машине. Например:

Feb 19 12:32:48 nd-nout fly-dm: :0[3421]: pam_unix(fly-dm:session): session opened for user ivanov by (uid=0)

Указанная запись содержит информацию о начале сессии для пользователя с учетной записью « ivanov ».

Указанная запись содержит информацию о завершении сессии для пользователя с учетной записью « petrovich ».

Кроме того, информация о начале и завершении работы пользователя попадает в журнал подсистемы безопасности parsec: /var/log/parsec/user.mlog , доступный для просмотра при помощи утилиты « userlog ». В журнале регистрируются события с типами « auth » (вход), « exit » (выход).

[u] ‘Tue Feb 19 12:50:00 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

[u] ‘Tue Feb 19 12:57:59 2013’ ‘/usr/bin/fly-dm’ [s] exit(«fly-dm»,»root»)

[u] ‘Tue Feb 19 13:14:52 2013’ ‘/bin/login’ [s] auth(«login»,»root»)

[u] ‘Tue Feb 19 13:15:33 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:15:39 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:19:53 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:20:13 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:20:23 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:20:31 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:27:48 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:27:54 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:33:51 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:33:55 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:39:49 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:39:53 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

Описание системы регистрации событий приведено в разделе 10 документа «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1». Дополнительная информация приведена на страницах справочного руководства « man » для расширенной системы протоколирования, доступной по команде « man parselog ». В операционной системе специального назначения «Astra Linux Special Edition» обеспечивается регистрация всех событий в соответствии с требованиями документа «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» ФСТЭК России, предъявляемых к средствам вычислительной техники третьего класса защищенности. Регистрация событий может быть проверена следующим образом: устанавливаем для пользователя (доменного) все возможные флаги аудита:

Audit policy user:petrovich

Audit success rules: ocxudntligarmphew

Источник

Инструменты «СКАНЕР-ВС»: Аудит ОС Astra Linux

Инструмент «Аудит ОС Astra Linux» предназначен для аудита настроек комплекса средств защиты ОС специального назначения «Astra Linux Special Edition» по требованиям безопасности.

Инструмент запускается из веб-интерфейса «Аудит ОС Astra Linux» или из подменю стартера приложений. Для запуска инструмента необходимо выполнить следующие действия:

  • запустить подменю стартера приложений;
  • выбрать вкладку «Поиск уязвимостей»;
  • выбрать инструмент «Аудит ОС Astra Linux» .

После запуска откроется окно терминала

Работа с инструментом

Для запуска процесса аудита, необходимо запустить скрипт на проверяемой рабочей станции. Для этого в терминале необходимо прописать команду, в которой указаны пользователь и IP-адрес тестируемой рабочей станции и нажать клавишу «Enter». Дополнительно можно указать папку для сохранения отчета. На рисунке 3 показан пример команды запуска скрипта на рабочей станции с IP-адресом 192.168.5.76 под учетной записью пользователя echelon и указанной папкой / для сохранения отчета.

В терминале будет отображено сообщение о подтверждении проведения аудита на рабочей станции, указанной в команде 4. Необходимо ввести в терминале «yes» и нажать клавишу «Enter».

Для начала аудита необходимо указать пароль пользователя, указанного в команде 5. Если аудит ОС Astra Linux проводится на рабочей станции впервые, пароль будет запрошен дважды. Нужно ввести в терминале пароль и нажать клавишу «Enter».

Источник

Оцените статью
Adblock
detector