Вопрос или проблема
Я пытаюсь настроить централизованный сервер auditd для сбора журналов с нескольких машин. Настройка работает нормально на других дистрибутивах Linux, таких как CentOS и Debian, но у меня возникла проблема при настройке на сервере auditd, основанном на Ubuntu. Я вижу следующие сообщения об ошибках в отладочном журнале auditd (auditd -f):
tcp_listen_port_parser called with: 60
Поддержка слушателя не включена, игнорирование значения в строке 27
tcp_listen_queue_parser called with: 5
Поддержка слушателя не включена, игнорирование значения в строке 28
tcp_max_per_addr_parser called with: 1
Поддержка слушателя не включена, игнорирование значения в строке 29
tcp_client_max_idle_parser called with: 0
Поддержка слушателя не включена, игнорирование значения в строке 31
transport_parser called with: TCP
Конфигурация:
- Конфигурация сервера: На сервере auditd на базе Ubuntu я настроил
tcp_listen_portв файле/etc/audit/auditd.conf, чтобы принимать входящие журналы на указанном TCP порту. - Конфигурация клиента: На клиентских машинах Debian я настроил данные о удаленной машине в файле
/etc/audit/audisp-remote.confи установил параметр “active” в значение yes в файле/etc/audit/plugins.d/au-remote.conf, чтобы включить пересылку журналов на центральный сервер. - Настройки брандмауэра: Я проверил настройки брандмауэра как на клиенте, так и на сервере, убедившись, что необходимый порт (TCP 60) для удаленного журнала открыт с обеих сторон.
Вопрос:
- Почему TCP порт не открывается на централизованном сервере auditd и есть ли какая-то причина, по которой Ubuntu не поддерживает централизованный auditd, в то время как это работает на других дистрибутивах, таких как Debian и CentOS?
Любая помощь или совет по решению этой проблемы будут очень ценны!
Заранее спасибо за вашу помощь!
Поиск в Google по запросу auditd ubuntu "Listener support is not enabled" (сообщение об ошибке в кавычках будет сопоставлено для всех слов, а не для некоторых из них) показал мне эту запись в блоге, описывающую причину ошибки и почему она проявляется на Ubuntu:
https://bløgg.no/2016/01/auditd-in-ubuntu-not-listening/
В блоге говорится, что двоичный файл auditd скомпилирован с отключенной поддержкой прослушивания, поэтому параметр конфигурационного файла все равно не сработает. Если это все еще актуально, (блог написан более 8 лет назад и может быть устаревшим), может потребоваться сборка из исходных кодов. Или установка из альтернативного источника пакетов. (Однажды, давным-давно, я использовал пакет Debian для Redis v2.0 на своих машинах Ubuntu, когда пакет Ubuntu был только до v1.18)
На сколько я могу судить, ваш идентичный вопрос на форуме AskUbuntu не имеет лучшего ответа.
Ответ или решение
Проблема с централизованным сервером auditd на Ubuntu
Настройка централизованного сервера auditd для сбора логов с нескольких машин представляет собой важную задачу для обеспечения безопасности и аудита системы. Однако возникновение проблемы с работой сервера auditd на Ubuntu может вызывать затруднения, особенно когда аналогичная конфигурация успешно работает на других дистрибутивах, таких как CentOS или Debian. Давайте детально рассмотрим возможные причины возникновения ошибки и пути её решения.
1. Проблема с поддержкой TCP на Ubuntu
Исходя из приведенных вами логов и сообщений об ошибках, основные проблемы касаются отсутствия поддержки слушателя (listener support) в конфигурации auditd на сервере Ubuntu. Сообщение об ошибке «Listener support is not enabled» указывает на то, что бинарный файл auditd был скомпилирован без включения функционала для прослушивания входящих соединений по TCP. Это ограничение может быть спецификой сборки пакетов для Ubuntu, которая отличается от других дистрибутивов.
2. Проверка конфигурации
Если вы уже настроили конфигурационные файлы, такие как /etc/audit/auditd.conf и /etc/audit/audisp-remote.conf, вам следует убедиться, что вы используете корректные параметры. Однако, даже с правильно настроенными конфигурациями, отсутствие поддержки в бинарном файле приведет к тому, что он не сможет прослушивать связи.
3. Возможные решения
-
Перестройка из исходного кода: Если поддержка слушателя действительно отключена в стандартной сборке для Ubuntu, вы можете рассмотреть возможность сборки auditd из исходников, обеспечив нужные вам параметры конфигурации. Для этого вам потребуется установить необходимые инструменты для сборки:
sudo apt-get install build-essential -
Установка из альтернативного репозитория: Иногда более новые или измененные версии пакетов могут быть доступны в других репозиториях. Вы можете попробовать добавить такие репозитории или установить другой пакет, как это делали вы в прошлом с Redis.
-
Проверка документации и сообществ: Рекомендуется также изучить официальную документацию для вашей версии Ubuntu и обратиться к сообществам, специализирующимся на безопасном администрировании Linux. Сообщества часто предоставляют полезные инсайты и советы по специфическим вопросам.
-
Использование других инструментов для централизованного сбора логов: Если интеграция auditd не представляет собой критический аспект вашей архитектуры безопасности, вы можете рассмотреть использование альтернативных методов централизованного сбора логов, таких как syslog или системные инструменты мониторинга, которые могут быть проще в настройке и обеспечении.
Заключение
Проблема с работой централизованного сервера auditd на Ubuntu может быть связана с ограничениями, наложенными на бинарные файлы, используемые в данной системе. Решение может заключаться в перестройке auditd из исходного кода или использовании альтернативных пакетов. Всегда полезно быть в курсе обновлений и документации, чтобы уверенно управлять вашей системой безопасности. Если у вас возникнут дополнительные вопросы или потребуется помощь, не стесняйтесь обращаться за поддержкой.