Logdaten zentral und sicher speichern

Verlässlicher Archivar

Das zentrale Speichern von Logmeldungen ist eine grundlegende Compliance-Anforderung. Der Open-Source-Tipp in diesem Monat schaut sich an, wie einzelne Linux-Systeme ihre lokalen Audit-Meldungen über das Netzwerk an einen zentralen Audit-Host senden können und wie sich der Transport mit Hilfe von Kerberos absichern lässt, um die Integrität der Daten während des Transports sicherzustellen und die Gegenseite korrekt zu authentifizieren.
Eine stillstehende IT kostet Firmen bares Geld, dabei können die Gründe für einen Ausfall vielfältig sein. Im Juni dreht sich der Schwerpunkt im ... (mehr)

Das "Linux Auditing System" [1] ist ein mächtiges Framework für das Auditieren sicherheitsrelevanter Ereignisse auf Linux-Systemen. Im Kernel stellt das Framework an verschiedensten Stellen "Hooks" zur Verfügung. Diese haben die Aufgabe, eine Vielzahl möglicher Events zu überwachen und entsprechende Aktivitäten zur Aufzeichnung an den audit-Service im Userspace weiterzuleiten. Welche Ereignisse überwacht werden sollen, regelt die Datei "/etc/audit/audit.rules". Dynamische Regeln nimmt der Service über das Werkzeug "auditctl" entgegen.

Steuerung von auditd

Zur Abfrage der von auditd geschriebenen Logdatei kommt entweder das Tool "ausearch" oder "aureport" zum Einsatz. In der Datei "/etc/audit/auditd.conf" definieren Sie genaue Einstellungen für die Protokollierung. Dazu gehört beispielsweise, wie sich der Dienst verhalten soll, wenn auf der Festplatte kein Platz mehr für das Speichern zusätzlicher Audit-Ereignisse vorhanden ist. Der Dienst kann bei Bedarf sogar das ganze System herunterfahren, um zu verhindern, dass Events, die eigentlich auditiert werden sollen, durchgeführt werden, ohne dass hierfür ein Eintrag im Log hinterlegt wird.

Der audit-Service bietet die Möglichkeit, Audit-Logs an einem zentralen Ort zu speichern, bei der Übertragung die Daten zu verschlüsseln und die Gegenseite, wo die Daten schließlich abgelegt werden sollen, zu authentifizieren. Dies ist eine übliche Anforderung der meisten "Technical Implementation Guides", wie beispielsweise auch dem STIG für Red Hat Enterprise Linux 7 [2]. Diese Funktion wird durch einen sogenannten "audit-Dispatcher" zur Verfügung gestellt. Mit Hilfe diverser Plug-ins nimmt dieser die vorhandenen Audit-Meldungen entgegen und verarbeitet diese entsprechend weiter. Das Paket "audispd-plug-ins" stellt hierfür bereits eine

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019