前段時間學習群中有朋友在詢問線上 Linux 主機的命令行操作審計方案時,當時給了一個用 rsyslog + elasticsearch 的方案簡單搪塞過去了仑最,并沒有對方案的細節(jié)進行說明雁歌。要命的是當時立了個 flag 說在下次公眾號文章更新中推送呻引,時間一晃快 2 個月過去了颜及,今天終于來把之前的挖的坑給填上掖肋。
首先仆葡,當談到 Linux 的操作審計需求時,大多數(shù)我們希望的是還原線上服務器被人為(誤)操作時執(zhí)行的命令行志笼,以及它關聯(lián)的上下文沿盅。這個需求場景其實跟通用的業(yè)務日志采集一致,簡單一點可以直接通過 history 將內(nèi)容發(fā)給 syslog纫溃,復雜一點的采用 auditd 或 ebpf 在內(nèi)核層面上捕獲行為腰涧。不過本文不打算對上述的方案做原理解釋,僅僅站在一個運維小白的角度來完成日常 80%(80%的數(shù)據(jù)來源紊浩?我也不知道窖铡,大概是二八原則)的操作審計 。既然文章標題是用 Shell 來完成坊谁, 由此可見今天的主題跟 Bash 脫不了關系了费彼。
一句話概括今天的主題:利用定制 Bash 源增加日志審計功能,并將用戶操作發(fā)給 rsyslog 聚合呜袁,最后在 elasticsearch 做日志存儲和查詢敌买。
Linux 部分
- 準備一些必要的工具
- rsyslog: 一個Linux上自帶并兼容syslog語法的日志處理服務
- jq: 一個在 shell 下處理json數(shù)據(jù)的小工具
- logger: 一個可以往 syslog 輸入日志的工具
這些小工具除 jq 外简珠,大多操作系統(tǒng)發(fā)行版都自帶阶界,如果沒有的話也可以直接用操作系統(tǒng)內(nèi)置的包管理工具安裝虹钮。
- 定制 bash.audit.sh,并將其拷貝到 /etc/profile.d/ 目錄下
if [ "${SHELL##*/}" != "bash" ]; then
return
fi
if [ "${AUDIT_READY}" = "yes" ]; then
return
fi
declare -rx HISTFILE="$HOME/.bash_history"
declare -rx HISTSIZE=500000
declare -rx HISTFILESIZE=500000
declare -rx HISTCONTROL=""
declare -rx HISTIGNORE=""
declare -rx HISTCMD
declare -rx AUDIT_READY="yes"
shopt -s histappend
shopt -s cmdhist
shopt -s histverify
if shopt -q login_shell && [ -t 0 ]; then
stty -ixon
fi
if groups | grep -q root; then
declare -x TMOUT=86400
# chattr +a "$HISTFILE"
fi
declare -a LOGIN_INFO=( $(who -mu | awk '{print $1,$2,$6}') )
declare -rx AUDIT_LOGINUSER="${LOGIN_INFO[0]}"
declare -rx AUDIT_LOGINPID="${LOGIN_INFO[2]}"
declare -rx AUDIT_USER="$USER"
declare -rx AUDIT_PID="$$"
declare -rx AUDIT_TTY="${LOGIN_INFO[1]}"
declare -rx AUDIT_SSH="$([ -n "$SSH_CONNECTION" ] && echo "$SSH_CONNECTION" | awk '{print $1":"$2"->"$3":"$4}')"
declare -rx AUDIT_STR="$AUDIT_LOGINUSER $AUDIT_LOGINPID $AUDIT_TTY $AUDIT_SSH"
declare -rx AUDIT_TAG=$(echo -n $AUDIT_STR | sha1sum |cut -c1-12)
declare -x AUDIT_LASTHISTLINE=""
set +o functrace
shopt -s extglob
function AUDIT_DEBUG() {
if [ -z "$AUDIT_LASTHISTLINE" ]; then
local AUDIT_CMD="$(fc -l -1 -1)"
AUDIT_LASTHISTLINE="${AUDIT_CMD%%+([^ 0-9])*}"
else
AUDIT_LASTHISTLINE="$AUDIT_HISTLINE"
fi
local AUDIT_CMD="$(history 1)"
AUDIT_HISTLINE="${AUDIT_CMD%%+([^ 0-9])*}"
if [ "${AUDIT_HISTLINE:-0}" -ne "${AUDIT_LASTHISTLINE:-0}" ] || [ "${AUDIT_HISTLINE:-0}" -eq "1" ]; then
MESSAGE=$(jq -c -n \
--arg pwd "$PWD" \
--arg cmd "${AUDIT_CMD##*( )?(+([0-9])?(\*)+( ))}" \
--arg user "$AUDIT_LOGINUSER" \
--arg become "$AUDIT_USER" \
--arg pid "$AUDIT_PID" \
--arg info "${AUDIT_STR}" \
'{cmd: $cmd, user: $user, become: $become, pid: $pid, pwd: $pwd, info: $info}')
logger -p local6.info -t "$AUDIT_TAG" "@cee: $MESSAGE"
fi
}
function AUDIT_EXIT() {
local AUDIT_STATUS="$?"
if [ -n "$AUDIT_TTY" ]; then
MESSAGE_CLOSED=$(jq -c -n \
--arg action "session closed" \
--arg user "$AUDIT_LOGINUSER" \
--arg become "$AUDIT_USER" \
--arg pid "$AUDIT_PID" \
--arg info "${AUDIT_STR}" \
'{user: $user, become: $become, pid: $pid, action: $action, info: $info}')
logger -p local6.info -t "$AUDIT_TAG" "@cee: $MESSAGE_CLOSED"
fi
exit "$AUDIT_STATUS"
}
declare -frx +t AUDIT_DEBUG
declare -frx +t AUDIT_EXIT
if [ -n "$AUDIT_TTY" ]; then
MESSAGE_OPENED=$(jq -c -n \
--arg action "session opened" \
--arg user "$AUDIT_LOGINUSER" \
--arg become "$AUDIT_USER" \
--arg pid "$AUDIT_PID" \
--arg info "${AUDIT_STR}" \
'{user: $user, become: $become, pid: $pid, action: $action, info: $info}')
logger -p local6.info -t "$AUDIT_TAG" "@cee: $MESSAGE_OPENED"
fi
declare -rx PROMPT_COMMAND="[ -n "$AUDIT_DONE" ] && echo ''; AUDIT_DONE=; trap 'AUDIT_DEBUG && AUDIT_DONE=1; trap DEBUG' DEBUG"
declare -rx BASH_COMMAND
declare -rx SHELLOPT
trap AUDIT_EXIT EXIT
簡單說明下這個腳本膘融,大致就是定義了 shell 的歷史條目芙粱、登錄超時時間、以及審計日志的格式和發(fā)送氧映。
- 配置rsyslog 客戶端春畔,本地創(chuàng)建一個
/etc/rsyslog.d/40-audit.conf文件,用于將本地local6級別的系統(tǒng)日志發(fā)送遠端的rsyslog服務集中處理
$RepeatedMsgReduction off
local6.info @<>:514
& stop
配置完成后岛都,別忘了重啟下 rsyslog 服務律姨!
數(shù)據(jù)部分
數(shù)據(jù)部分顧名思義,用于接收并處理客戶端發(fā)來的操作系統(tǒng)日志臼疫。這里我們用到了 rsyslog 和 elasticsearch 兩個服務了择份。
- 準備rsyslog-elasticsearch
要讓 rsyslog 將日志發(fā)送給 elastichsearch,我們就必須安裝它的 es 模塊
# Ubuntu
apt-get install -y rsyslog-elasticsearch rsyslog-mmjsonparse
#CentOS
yum install rsyslog-elasticsearch rsyslog-mmjsonparse
- 準備 ElasticSearch 服務
為了簡單部署烫堤,本文直接用 docker 快速拉起一個 ES 服務
docker run -d --name elasticsearch -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" elasticsearch:7.3.1
- 配置 rsyslog 服務端荣赶,創(chuàng)建一個文件
/etc/rsyslog.d/40-audit-server.conf,用于定義日志的寫入策略鸽斟。
$RepeatedMsgReduction off
$ModLoad imudp
$UDPServerRun 514
module(load="mmjsonparse") # for parsing CEE-enhanced syslog messages
module(load="omelasticsearch") # for outputting to Elasticsearch
#try to parse a structured log
# this is for index names to be like: rsyslog-YYYY.MM.DD
template(name="rsyslog-index" type="string" string="bashaudit-%$YEAR%.%$MONTH%.%$DAY%")
# this is for formatting our syslog in JSON with @timestamp
template(name="json-syslog" type="list") {
constant(value="{")
constant(value="\"@timestamp\":\"") property(name="timegenerated" dateFormat="rfc3339" date.inUTC="on")
constant(value="\",\"host\":\"") property(name="fromhost-ip")
constant(value="\",\"severity\":\"") property(name="syslogseverity-text")
constant(value="\",\"facility\":\"") property(name="syslogfacility-text")
constant(value="\",\"program\":\"") property(name="programname")
constant(value="\",\"tag\":\"") property(name="syslogtag" format="json")
constant(value="\",") property(name="$!all-json" position.from="2")
# closing brace is in all-json
}
if ($syslogfacility-text == 'local6' and $syslogseverity-text == 'info') then {
action(type="mmjsonparse")
action(type="omelasticsearch" template="json-syslog" searchIndex="rsyslog-index" dynSearchIndex="on" server="<your_elasticsearch_address>" serverport="<your_elasticsearch_port>")
# action(type="omfile" file="/var/log/bashaudit.log")
stop
}
這里采用了 rsyslog 的兩個 module 來處理收集的日志
-
mmjsonparse用于 json 格式化日志 -
omelasticsearch用于配置 ElastichSearch
配置完成重啟 rsyslog 服務
查詢部分
審計日志的查詢我們可以使用 Kibana 或者自己根據(jù) ElasticSearch API 進行二次開發(fā)拔创。這里我們以 Kibana 舉例。
cat << EOF > ./kibana.yml
server.port: 15601
elasticsearch.hosts: ["http://<your_elasticsearch_address>:<your_elasticsearch_port>"]
i18n.locale: "zh-CN"
EOF
docker run -d --ulimit nofile=1000000:1000000 --net host --name elasticsearch-audit -v ./kibana.yml:/usr/share/kibana/config/kibana.yml --restart always docker.elastic.co/kibana/kibana-oss:7.3.1
本地訪問http://localhost:15601進入 kibana 配置創(chuàng)建一個名為 bashaudit 的索引模式
之后富蓄,我們就能進入 Discover 中查詢審計日志了剩燥,包含了基本 Shell執(zhí)行時間、來源用戶立倍、執(zhí)行目錄 等數(shù)據(jù)躏吊。
再進一步,我們也可以通過調(diào)用 API 的方式對審計日志做一些額外的二次開發(fā)帐萎,例如:
- 對線上服務器熱點用戶統(tǒng)計
- 對線上服務器做熱點操作統(tǒng)計
- 對線上危險Shell 操作做告警
總結
本文講述了采用定制 Bash 的方式比伏,在用戶登錄初始化 Shell 的方式將其后續(xù)的命令行操作發(fā)送給 rsyslog 服務進行處理,并將格式化后的日志存儲在 ElasticSearch 中方便輔助系統(tǒng)管理者在線上故障定位時使用疆导,也可以依此對 Linux命令行審計做可視化的二次開發(fā)赁项。
不過本文基于定制 Bash 的方式仍然具備很多局限性,例如:
不能審計 ShellScript 內(nèi)的執(zhí)行邏輯澈段;
存在用其他 shell 繞過審計悠菜,如 zsh 等;
可以看到要想審計到更詳細的內(nèi)容败富,光在 Bash(表面功夫)上實現(xiàn)并不能滿足悔醋,讀者可以嘗試使用snoopy 對 Shell 腳本內(nèi)部做跟蹤審計。后面有機會兽叮,我會更新關于snoopy / auditd 相關的審計方案芬骄,感謝持續(xù)關注猾愿!
更多內(nèi)容關注「云原生小白」
