CentOS-palvelimien auditointi: Linux-auditointijärjestelmä
Sillanaukee, Tuomas (2019)
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019121626877
https://urn.fi/URN:NBN:fi:amk-2019121626877
Tiivistelmä
Telia Cygate on Telia Company -konserniin kuuluva ICT-palveluja tarjoava yritys. Telia Cygate tarjoaa esimerkiksi tietoturva- ja tietoverkkopalveluita sen asiakkaille.
Työn päätarkoituksena oli tuottaa optimaalinen Linux-auditointijärjestelmän säännöstötiedosto, jota voitaisiin käyttää tai soveltaa toimeksiantajan CentOS-palvelimien auditointiin. Säännöstön avulla pitäisi saada kiinni epäilyttäviä järjestelmän tapahtumia tuottamatta turhia auditointitallenteita. Työ suoritettiin muokkaamalla jo olemassa olevaa säännöstöä. Työn toissijaisena tavoitteena oli havainnollistaa auditointijärjestelmän työkalujen toimintaa analysoimalla järjestelmän tuottamia auditointitapahtumia.
Auditointijärjestelmä on ollut sisäänrakennettuna Linux-järjestelmissä kernel versiosta 2.6 lähtien. Sen avulla voidaan auditoida laajasti järjestelmän tapahtumia. Auditointijärjestelmä mahdollistaa esimerkiksi sensitiivisien tiedostojen lukemisen sekä käyttäjien suorittamien komentojen seurannan. Auditointijärjestelmä koostuu Linuxin kernelin muistiavaruuden alijärjestelmästä sekä useista käyttäjäavaruuden komponenteista. Komponentteja on moneen tarkoitukseen ja niillä voidaan hallinnoida järjestelmän toimintaa tai analysoida järjestelmän tuottamia auditointitapahtumia. Auditointitapahtumia voidaan analysoida esimerkiksi Ausearch- ja Aureport-työkaluilla. Auditointijärjestelmän toimintaa kontrolloidaan luomalla kontrolli-, valvonta- ja järjestelmäkutsusääntöjä järjestelmän säännöstötiedostoon.
Työn lopputulokseksi syntyi auditointisäännöstö, jonka avulla pystytään valvomaan useita järjestelmän normaaliin toimintaan kuulumattomia tapahtumia.
Työn päätarkoituksena oli tuottaa optimaalinen Linux-auditointijärjestelmän säännöstötiedosto, jota voitaisiin käyttää tai soveltaa toimeksiantajan CentOS-palvelimien auditointiin. Säännöstön avulla pitäisi saada kiinni epäilyttäviä järjestelmän tapahtumia tuottamatta turhia auditointitallenteita. Työ suoritettiin muokkaamalla jo olemassa olevaa säännöstöä. Työn toissijaisena tavoitteena oli havainnollistaa auditointijärjestelmän työkalujen toimintaa analysoimalla järjestelmän tuottamia auditointitapahtumia.
Auditointijärjestelmä on ollut sisäänrakennettuna Linux-järjestelmissä kernel versiosta 2.6 lähtien. Sen avulla voidaan auditoida laajasti järjestelmän tapahtumia. Auditointijärjestelmä mahdollistaa esimerkiksi sensitiivisien tiedostojen lukemisen sekä käyttäjien suorittamien komentojen seurannan. Auditointijärjestelmä koostuu Linuxin kernelin muistiavaruuden alijärjestelmästä sekä useista käyttäjäavaruuden komponenteista. Komponentteja on moneen tarkoitukseen ja niillä voidaan hallinnoida järjestelmän toimintaa tai analysoida järjestelmän tuottamia auditointitapahtumia. Auditointitapahtumia voidaan analysoida esimerkiksi Ausearch- ja Aureport-työkaluilla. Auditointijärjestelmän toimintaa kontrolloidaan luomalla kontrolli-, valvonta- ja järjestelmäkutsusääntöjä järjestelmän säännöstötiedostoon.
Työn lopputulokseksi syntyi auditointisäännöstö, jonka avulla pystytään valvomaan useita järjestelmän normaaliin toimintaan kuulumattomia tapahtumia.