Hướng Dẫn Audit Log VPS Toàn Tập: Giám Sát & Truy Vết Mọi Hoạt Động

VPS của bạn có đang hoạt động như một "hộp đen", nơi các sự kiện xảy ra mà bạn không hề hay biết cho đến khi sự cố ập đến? Việc thiết lập một hệ thống Audit log VPS hiệu quả sẽ biến sự mơ hồ đó thành những bằng chứng rõ ràng, giúp bạn trả lời các câu hỏi quan trọng: Ai đã đăng nhập? Họ đã làm gì? File nào đã bị thay đổi? Bài viết này sẽ hướng dẫn chi tiết từ A-Z cách sử dụng công cụ Auditd tiêu chuẩn trên Linux để cài đặt, cấu hình và phân tích nhật ký, trao cho bạn toàn quyền kiểm soát và giám sát máy chủ của mình.

Audit Log là gì? Tại sao nó là "Hộp Đen" không thể thiếu cho VPS?
Audit Log (Nhật ký kiểm toán) là một bản ghi chi tiết, theo trình tự thời gian về tất cả các sự kiện và hành động xảy ra trên một hệ thống. Hãy hình dung Audit Log giống như hộp đen của một chiếc máy bay: nó ghi lại mọi thứ. Khi có sự cố, bạn có thể "mở" hộp đen này ra để xem chính xác điều gì đã xảy ra, do ai và vào lúc nào.

Đối với một máy chủ ảo (VPS), việc duy trì một hệ thống Audit Log chặt chẽ là cực kỳ quan trọng vì ba lý do chính sau:

1. Tăng cường an ninh (Security Enhancement): Audit Log giúp phát hiện các hoạt động đáng ngờ hoặc trái phép. Ví dụ, nhiều lần đăng nhập SSH thất bại từ cùng một địa chỉ IP có thể là dấu hiệu của một cuộc tấn công brute-force. Việc theo dõi các thay đổi trên những file hệ thống quan trọng như /etc/passwd cũng giúp phát hiện sớm các hành vi leo thang đặc quyền.
2. Truy vết sự cố (Incident Response & Forensics): Khi một lỗi xảy ra – chẳng hạn một file cấu hình quan trọng bị xóa hoặc website đột nhiên ngừng hoạt động – Audit Log là công cụ đầu tiên bạn cần đến. Các bản ghi sẽ chỉ ra chính xác lệnh nào đã được thực thi hoặc file nào đã bị sửa đổi ngay trước thời điểm xảy ra sự cố, giúp rút ngắn đáng kể thời gian tìm kiếm nguyên nhân và khắc phục.
3. Đáp ứng yêu cầu tuân thủ (Compliance): Nhiều ngành công nghiệp, đặc biệt là tài chính và y tế, có các tiêu chuẩn bảo mật nghiêm ngặt (như PCI-DSS, HIPAA) yêu cầu phải ghi lại và lưu trữ nhật ký hệ thống. Việc triển khai Audit Log giúp các tổ chức đáp ứng được những quy định này.
   
   
   
   

Giới thiệu Auditd: Công cụ Audit Log tiêu chuẩn trên Linux
Auditd (The Linux Audit daemon) là một bộ công cụ kiểm toán mặc định và cực kỳ mạnh mẽ có sẵn trong nhân (kernel) của hầu hết các bản phân phối Linux. Đây không phải là một phần mềm bạn cần cài thêm từ bên thứ ba, mà là một thành phần cốt lõi của hệ thống.

Bộ công cụ của Auditd bao gồm các thành phần chính:

• auditd: Đây là dịch vụ (daemon) chạy nền, có nhiệm vụ thu thập thông tin kiểm toán từ kernel và ghi vào một file log.
• auditctl: Đây là công cụ dòng lệnh dùng để quản lý dịch vụ audit, thêm hoặc xóa các quy tắc (rules) để quyết định xem hệ thống sẽ ghi lại những sự kiện nào.
• ausearch: Một công cụ dòng lệnh mạnh mẽ dùng để truy vấn, tìm kiếm và lọc các sự kiện cụ thể từ file audit log.
• aureport: Công cụ này dùng để tạo các báo cáo tổng hợp từ file log, giúp bạn có cái nhìn tổng quan về các sự kiện đã xảy ra.

Hướng dẫn cài đặt và cấu hình Auditd trên VPS
Bây giờ, chúng ta sẽ đi vào phần thực hành chi tiết để thiết lập một hệ thống Audit log VPS hoàn chỉnh.

Bước 1: Cài đặt Auditd
Trên hầu hết các hệ điều hành máy chủ hiện đại, Auditd thường đã được cài đặt sẵn. Bạn có thể kiểm tra bằng lệnh systemctl status auditd. Nếu chưa có, hãy cài đặt bằng lệnh tương ứng với hệ điều hành của bạn.

Đối với Ubuntu / Debian:

sudo apt-get update
sudo apt-get install auditd audispd-plugins -y
Đối với CentOS / RHEL / Fedora:

sudo yum install audit -y
Sau khi cài đặt, hãy khởi động và cho phép dịch vụ chạy cùng hệ thống:

sudo systemctl start auditd
sudo systemctl enable auditd
Bước 2: Tìm hiểu cấu trúc Rule (Quy tắc) của Auditd
Sức mạnh của Auditd nằm ở các quy tắc mà bạn định nghĩa. Các quy tắc này được lưu trữ trong file /etc/audit/rules.d/audit.rules. Khi dịch vụ auditd khởi động, nó sẽ đọc các quy tắc trong file này để biết cần giám sát những gì.

Một quy tắc cơ bản thường có dạng:

-w /path/to/file -p permissions -k key_name
Trong đó:

• -w /path/to/file: Theo dõi (watch) một file hoặc thư mục cụ thể.
• -p permissions: Chỉ định các quyền truy cập cần giám sát.
  • r - read (đọc)
  • w - write (ghi)
  • x - execute (thực thi)
  • a - attribute change (thay đổi thuộc tính)
• -k key_name: Gán một "nhãn" (key) cho quy tắc này. Việc đặt nhãn giúp bạn dễ dàng tìm kiếm các sự kiện liên quan đến quy tắc này sau này bằng ausearch.

Bước 3: Cấu hình các Rule giám sát quan trọng
Bạn nên thêm các quy tắc của mình vào file /etc/audit/rules.d/audit.rules. Dưới đây là một số quy tắc cực kỳ hữu ích mà mọi quản trị viên hệ thống nên triển khai.

H4: Giám sát các lần truy cập và thay đổi file quan trọng
Các file cấu hình hệ thống là mục tiêu hàng đầu của kẻ tấn công hoặc có thể bị thay đổi do lỗi của người dùng. Việc giám sát chúng là rất cần thiết.

# Ghi lại mỗi khi có ai đó ghi hoặc thay đổi thuộc tính của các file xác thực
-w /etc/passwd -p wa -k identity_changes
-w /etc/shadow -p wa -k identity_changes
-w /etc/group -p wa -k identity_changes
-w /etc/sudoers -p wa -k sudoers_changes

# Giám sát file cấu hình SSH
-w /etc/ssh/sshd_config -p wa -k ssh_config_changes
Những quy tắc trên sẽ ghi lại bất kỳ ai cố gắng chỉnh sửa các file quản lý người dùng, nhóm, quyền sudo và cấu hình SSH.

H4: Giám sát các sự kiện đăng nhập và kết nối SSH
Việc biết ai đã đăng nhập vào hệ thống và khi nào là thông tin cơ bản nhất của an ninh.

# Ghi lại các sự kiện liên quan đến đăng nhập và đăng xuất
-w /var/log/tallylog -p wa -k login_events
-w /var/run/faillock/ -p wa -k login_events
-w /var/log/lastlog -p wa -k login_events

# Giám sát việc sử dụng lệnh ssh
-a always,exit -F arch=b64 -S connect -F a2=16 -k ssh_connections
H4: Giám sát các lệnh do một user cụ thể thực thi
Nếu bạn có một tài khoản người dùng quan trọng hoặc một tài khoản dùng chung, việc giám sát các lệnh mà tài khoản đó thực thi là rất hữu ích. Giả sử bạn muốn giám sát người dùng có UID là 1001.

# Giám sát tất cả các lệnh thực thi (syscall execve) bởi user có UID 1001
-a always,exit -F arch=b64 -S execve -F auid=1001 -k user_commands
-a always,exit -F arch=b32 -S execve -F auid=1001 -k user_commands
H4: Giám sát các thay đổi về quyền sở hữu file
Các lệnh như chmod, chown có thể thay đổi cấu trúc bảo mật của hệ thống. Việc ghi lại chúng giúp bạn kiểm soát được các thay đổi về quyền truy cập.

# Giám sát các system call liên quan đến thay đổi quyền
-a always,exit -F arch=b64 -S chmod,fchmod,fchmodat -F auid>=1000 -F auid!=4294967295 -k perm_changes
-a always,exit -F arch=b64 -S chown,fchown,fchownat,lchown -F auid>=1000 -F auid!=4294967295 -k owner_changes
Lưu ý: Sau khi thêm hoặc sửa đổi các quy tắc, bạn cần khởi động lại dịch vụ auditd để áp dụng thay đổi: sudo systemctl restart auditd.

"Đọc vị" Audit Log: Cách sử dụng ausearch và aureport
Việc thu thập log chỉ là một nửa câu chuyện. Nửa còn lại, và cũng là phần quan trọng hơn, là khả năng phân tích và hiểu được những gì đã được ghi lại.

Sử dụng ausearch để truy vấn Log chi tiết
ausearch là công cụ chính của bạn để tìm kiếm thông tin trong file /var/log/audit/audit.log. File log này chứa rất nhiều thông tin và khó đọc trực tiếp.

Tìm kiếm theo "key" đã đặt:
Đây là lý do tại sao việc đặt -k trong các quy tắc lại hữu ích. Ví dụ, để xem tất cả các sự kiện liên quan đến việc thay đổi file sudoers:

sudo ausearch -k sudoers_changes
Tìm kiếm các lần đăng nhập thất bại:

sudo ausearch -m USER_LOGIN -sv no --start recent
Tìm kiếm tất cả hành động của một người dùng (ví dụ UID 1001) trong ngày hôm nay:

sudo ausearch -ua 1001 --start today
Lệnh ausearch có rất nhiều tùy chọn, cho phép bạn lọc theo thời gian, ID người dùng, ID tiến trình, system call, và nhiều hơn nữa.

Sử dụng aureport để xem báo cáo tổng hợp
Nếu ausearch cho bạn chi tiết từng sự kiện, thì aureport cung cấp một cái nhìn tổng quan.

Xem báo cáo về các lần đăng nhập:

sudo aureport -l --summary
Lệnh này sẽ cho bạn một bảng tóm tắt về số lần đăng nhập thành công và thất bại, từ đâu, và bởi người dùng nào.

Xem báo cáo về các sự kiện xác thực:

sudo aureport -au --summary
Báo cáo này hữu ích để xem các nỗ lực xác thực trên toàn hệ thống.

Việc kết hợp aureport để có cái nhìn tổng quan và sau đó dùng ausearch để đi sâu vào các sự kiện đáng ngờ là một quy trình làm việc hiệu quả để giám sát và điều tra.