Kiểm toán cấu hình hệ thống OneFS

OneFS  a auditing có thể phát hiện các nguồn tiềm ẩn gây mất dữ liệu, gian lận, quyền không phù hợp, các nỗ lực truy cập không nên xảy ra và một loạt các bất thường khác là chỉ báo rủi ro. Điều này có thể đặc biệt hữu ích khi kiểm toán  liên kết quyền  truy cập dữ liệu với các danh tính người dùng cụ thể. 

Vì lợi ích của bảo mật dữ liệu,  OneFS  cung cấp  kiểm toán “ chuỗi lưu ký ”  bằng cách ghi lại hoạt động cụ thể trên cụm. Điều này bao gồm  các thay đổi cấu hình OneFS  cộng với hoạt động giao thức máy khách NFS, SMB và HDFS cần  thiết  để tuân thủ bảo mật CNTT của tổ chức, theo yêu cầu của các cơ quan quản lý như HIPAA, SOX, FISMA, MPAA,  v.v.  

Kiểm toán OneFS  sử dụng Common Event Enabler (CEE) của Dell để cung cấp khả năng tương thích với các ứng dụng kiểm toán bên ngoài. Một cụm có thể ghi các sự kiện kiểm toán trên tối đa năm máy chủ CEE trên mỗi nút trong cấu hình song song, cân bằng tải. Điều này cho phép  OneFS  cung cấp giải pháp kiểm toán cấp doanh nghiệp từ đầu đến cuối, tích hợp hiệu quả với các giải pháp của bên thứ ba như Varonis DatAdvantage. 

Sơ đồ sau đây phác thảo  kiến ​​trúc cơ bản của   kiểm toán OneFS : 

  Cả thay đổi cấu hình hệ thống cũng như hoạt động giao thức đều có thể dễ dàng được kiểm tra trên cụm PowerScale. Tuy nhiên, đường dẫn giao thức bị mờ ở trên vì nó nằm ngoài trọng tâm của bài viết này. Bạn có thể  tìm  thêm thông tin về kiểm tra giao thức OneFS tại đây . 

Như minh họa  ở trên ,  khuôn khổ kiểm toán  OneFS  tập trung vào ba dịch vụ chính .  

 Quy trình kiểm toán cấu hình cơ bản thấy yêu cầu thay đổi cấu hình cụm được đưa vào thông qua OneFS CLI, WebUI hoặc API nền tảng. Cơ sở hạ tầng xử lý API chuyển yêu cầu này đến dịch vụ isi_audit_d, dịch vụ này sẽ chặn yêu cầu này dưới dạng luồng máy khách và thêm vào hàng đợi kiểm toán. Sau đó, yêu cầu này được xử lý và chuyển qua luồng phụ trợ và được ghi vào tệp nhật ký kiểm toán (IFS) khi thích hợp.

Nếu chuyển tiếp syslog kiểm tra đã được cấu hình, IFS cũng chuyển sự kiện tới daemon isi_audit_syslog, tại đó một quy trình giám sát sẽ hướng dẫn luồng ghi gửi sự kiện tới syslog, sau đó syslog sẽ cập nhật các tệp nhật ký /var/log/ có liên quan.  

Tương tự như vậy, nếu chuyển tiếp Common Event Enabler (CEE) đã được bật, IFS cũng sẽ chuyển yêu cầu đến dịch vụ isi_audit_cee, tại đó một luồng công nhân phân phối sẽ chặn yêu cầu đó và gửi sự kiện đến nhóm máy chủ CEE. Tác vụ nhịp tim isi_audit_cee khiến các máy chủ CEE sẵn sàng để phân phối sự kiện kiểm toán. Chỉ sau khi máy chủ CEE nhận được nhịp tim thành công thì các sự kiện kiểm toán mới được phân phối đến máy chủ đó. Cứ sau mười giây, tác vụ nhịp tim sẽ thức dậy và gửi cho mỗi máy chủ CEE trong cấu hình một nhịp tim. Trong khi các máy chủ CEE sẵn sàng và các sự kiện nằm trong bộ nhớ, một nỗ lực sẽ được thực hiện để phân phối các sự kiện này. Tắt máy sẽ chỉ lưu vị trí nhật ký kiểm toán nếu tất cả các sự kiện được phân phối đến CEE vì kiểm toán không được làm mất các sự kiện. Không quan trọng là tất cả các sự kiện phải được phân phối khi tắt máy vì bất kỳ sự kiện nào chưa lưu đều có thể được gửi lại cho CEE khi bắt đầu isi_audit_cee tiếp theo vì CEE xử lý các bản sao.

 Trong OneFS, mọi dữ liệu kiểm tra đều được sắp xếp theo chủ đề và được lưu trữ an toàn trong hệ thống tệp.

# danh sách chủ đề kiểm toán isi

Tên Tối đa Tin nhắn được lưu trong bộ nhớ đệm

—————————–

giao thức 2048

cấu hình 1024

—————————–

Tổng cộng: 2

Kiểm toán có thể phát hiện nhiều nguồn tiềm ẩn gây mất dữ liệu. Bao gồm các nỗ lực truy cập trái phép, quyền không phù hợp, cùng với một loạt các hoạt động gian lận khác gây ảnh hưởng đến các tổ chức trong nhiều ngành công nghiệp. Các doanh nghiệp ngày càng phải tuân thủ các quy định nghiêm ngặt được phát triển để bảo vệ chống lại các nguồn mất mát và trộm cắp dữ liệu này.

Kiểm tra cấu hình hệ thống OneFS được thiết kế để theo dõi và ghi lại tất cả các sự kiện cấu hình được API xử lý thông qua giao diện dòng lệnh (CLI).  

# isi kiểm toán chủ đề xem cấu hình

               Tên: config

Tin nhắn được lưu trữ tối đa: 1024

Sau khi được bật, kiểm toán cấu hình hệ thống không yêu cầu cấu hình bổ sung và các sự kiện kiểm toán được tự động lưu trữ trong các thư mục chủ đề kiểm toán cấu hình. Quyền truy cập và quản lý kiểm toán được quản lý bởi đặc quyền RBAC ‘ISI_PRIV_AUDIT’ và OneFS cung cấp vai trò ‘AuditAdmin’ mặc định cho mục đích này.

Sự kiện kiểm toán được lưu trữ trong tệp nhị phân tại /ifs/.ifsvar/audit/logs. Nhật ký tự động chuyển sang tệp mới sau khi kích thước đạt 1 GB. Nhật ký kiểm toán có thể được sử dụng bởi các ứng dụng kiểm toán hỗ trợ Dell Common Event Enabler (CEE).

Có thể dễ dàng xem và sửa đổi các chủ đề và cài đặt kiểm toán OneFS. Ví dụ: để tăng ngưỡng tin nhắn được lưu trong bộ nhớ đệm tối đa của kiểm toán cấu hình lên 2048 từ CLI:

# isi kiểm toán chủ đề sửa đổi cấu hình –max-cached-messages 2048

# isi kiểm toán chủ đề xem cấu hình

 

               Tên: config

Tin nhắn được lưu trữ tối đa: 2048

Cấu hình kiểm tra cũng có thể được sửa đổi hoặc xem theo từng vùng truy cập và/hoặc chủ đề.

Kiểm toán cấu hình có thể được bật trên một cụm từ CLI hoặc API nền tảng. Cấu hình kiểm toán toàn cầu hiện tại có thể được xem như sau:

1# thiết lập kiểm toán isi chế độ xem toàn cầu

     Kiểm toán giao thức được bật: Không

                 Khu vực được kiểm toán: –

               URI máy chủ CEE: –

                       Tên máy chủ:

       Đã bật Kiểm tra cấu hình: Không

         Cấu hình Syslog được bật: Không

         Cấu hình máy chủ Syslog: –

     Cấu hình Syslog TLS được bật: Không

  Cấu hình ID chứng chỉ Syslog:

       Máy chủ Syslog giao thức: –

   Giao thức Syslog TLS được bật: Không

ID chứng chỉ Syslog giao thức:

         Đã bật Syslog hệ thống: Không

         Máy chủ Syslog hệ thống: –

     Hệ thống Syslog TLS được bật: Không

  ID chứng chỉ Syslog hệ thống:

          Tự động xóa được bật: Không

              Thời gian lưu giữ: 180

       Kiểm toán hệ thống được bật: Không

Trong trường hợp này, kiểm toán cấu hình bị vô hiệu hóa – thiết lập mặc định của nó. Cú pháp CLI sau sẽ bật (và xác minh) kiểm toán cấu hình trên toàn cụm:

# isi kiểm toán thiết lập toàn cầu sửa đổi –config-auditing-enabled 1

# isi kiểm toán cài đặt chế độ xem toàn cục | grep -i ‘config audit’

       Đã bật Kiểm tra cấu hình: Có

Trong bài viết tiếp theo, chúng ta sẽ xem xét cách quản lý kiểm tra cấu hình, xem sự kiện và khắc phục sự cố.

Để bật chức năng chuyển hướng kiểm tra thay đổi cấu hình sang syslog:

# isi kiểm toán thiết lập toàn cầu sửa đổi –config-auditing-enabled true

# isi kiểm toán thiết lập toàn cầu sửa đổi –config-syslog-enabled true

# isi kiểm toán cài đặt chế độ xem toàn cục | grep -i ‘config audit’

       Đã bật Kiểm tra cấu hình: Có

Tương tự như vậy, để vô hiệu hóa chuyển hướng kiểm tra thay đổi cấu hình sang syslog:

# isi kiểm toán thiết lập toàn cầu sửa đổi –config-syslog-enabled false

# isi kiểm toán thiết lập toàn cầu sửa đổi –config-auditing-enabled false

cấu hình kiểm toán

2.

#isi kiểm tra thiết lập sửa đổi –add-cee-server-uris=’http://seavee5.west.isilon.com:12228/cee’

4.

# isi kiểm toán thiết lập sửa đổi –add-audited-zones=auditgti

4′ nếu bạn không muốn kiểm toán nhiều như vậy

# isi kiểm toán thiết lập sửa đổi –remove-audited-zones=Hệ thống

vùng cấu hình

3.

#isi zone regions create –all-auth-providers=true –audit-failure=all –audit-success=all –path=/ifs/data –name=auditgti

3′. nếu bạn không muốn kiểm toán nhiều như vậy

#isi zone regions create –all-auth-providers=true –audit-failure=đọc,đăng nhập –audit-success=ghi,xóa –path=/ifs/data –name=auditgti

nhóm mạng

5.

#isi network create pool –name=subnet0:auditpool –access-zone=auditgit –iface=<giao diện của bạn> –range=<phạm vi của bạn>  

5′ bạn cũng có thể kiểm tra Hệ thống theo mặc định, vì vậy bước này có thể bỏ qua  

các thiết lập khác

#isi audit setting modify –hostname=”<bất kỳ tên nào bạn muốn, tên này sẽ được chèn vào payload>”

 

#isi kiểm tra thiết lập sửa đổi –cee-log-time=”Protocol@1900-01-01 00:00:01″

API nền tảng cũng có thể được sử dụng để cấu hình và quản lý kiểm toán. Ví dụ: để bật kiểm toán cấu hình trên một cụm:

ĐẶT /nền tảng/1/kiểm toán/cài đặt

Quyền hạn: Cơ bản QWxhZGRpbjpvcGVuIHN1c2FtZQ==

{

‘config_auditing_enabled’: Đúng

}

Ví dụ phản hồi

 

Mã phản hồi HTTP ‘204 từ cụm cho biết yêu cầu đã thành công và kiểm tra cấu hình hiện đã được bật trên cụm. Không có nội dung tin nhắn nào được trả về cho yêu cầu này.

204 Không có nội dung

Kiểu nội dung: văn bản/thuần túy,  

Cho phép: ‘GET, PUT, HEAD’

 

Tương tự như vậy, để sửa đổi ngưỡng tin nhắn được lưu trong bộ nhớ đệm tối đa của chủ đề kiểm tra cấu hình thành giá trị ‘1000’ thông qua API:

ĐẶT /1/kiểm toán/chủ đề/cấu hình

Quyền hạn: Cơ bản QWxhZGRpbjpvcGVuIHN1c2FtZQ==

    {

         “max_cached_messages”: 1000

    }

Một lần nữa, không có nội dung tin nhắn nào được trả về từ OneFS cho yêu cầu này.

204 Không có nội dung  

Kiểu nội dung: văn bản/thuần túy,  

Cho phép: ‘GET, PUT, HEAD’

Lưu ý rằng, trong trường hợp không mong muốn xảy ra khi một cụm gặp sự cố mất điện khiến cụm đó mất số lượng đủ, việc kiểm toán sẽ bị tạm dừng cho đến khi cụm đó được khôi phục. Các sự kiện tương tự như sau sẽ được ghi vào tệp /var/log/audit_d.log:

940b5c700]: Mất đủ số lượng! Nhật ký kiểm tra sẽ bị vô hiệu hóa cho đến khi /ifs có thể ghi lại được.

2023-08-28T15:37:32.132780+00:00 <1.6> TME-1(id1) isi_audit_d[6495]: [0x345940b5c700]: Đã lấy lại đủ số lượng. Đang tiếp tục ghi nhật ký.

Khi nói đến việc đọc các sự kiện kiểm toán trên cụm, OneFS cung cấp tiện ích ‘isi_audit_viewer’ tiện dụng. Ví dụ, đầu ra của trình xem kiểm toán sau đây hiển thị các sự kiện được ghi lại khi quản trị viên cụm thêm đường dẫn ‘/ifs/tmp’ vào cấu hình SmartDedupe và tạo một người dùng mới có tên ‘test’1’:

# isi_audit_viewer

[0: Thứ Ba 29 tháng 8 2023 23:01:16] {“id”:”f54a6bec-46bf-11ee-920d-0060486e0a26″,”timestamp”:1693350076315499,”payload”:{“user”:{“token”: {“UID”:0, “GID”:0, “SID”: “SID:S-1-22-1-0”, “GSID”: “SID:S-1-22-2-0”, “GROUPS”: [“SID:S-1-5-11”, “GID:5”, “GID:10”, “GID:20”, “GID:70”], “protocol”: 17, “zone id”: 1, “client”: “10.135.6.255”, “local”: “10.219.64.11” }},”uri”:”/1/dedupe/settings”,”method”:”PUT”,”args”:{}

,”thân”:{“đường dẫn”:[“/ifs/tmp”]}

}}

[1: Thứ Ba, ngày 29 tháng 8 năm 2023 lúc 23:01:16] {“id”:”f54a6bec-46bf-11ee-920d-0060486e0a26″,”timestamp”:1693350076391422,”payload”:{“status”:204,”statusmsg”:”Không có nội dung”,”body”:{}}}

[2: Thứ Ba, ngày 29 tháng 8 năm 2023 lúc 23:03:43] {“id”:”4cfce7a5-46c0-11ee-920d-0060486e0a26″,”timestamp”:1693350223446993,”payload”:{“user”:{“token”: {“UID”:0, “GID”:0, “SID”: “SID:S-1-22-1-0”, “GSID”: “SID:S-1-22-2-0”, “GROUPS”: [“SID:S-1-5-11”, “GID:5”, “GID:10”, “GID:20”, “GID:70”], “protocol”: 17, “zone id”: 1, “client”: “10.135.6.255”, “local”: “10.219.64.11” }},”uri”:”/18/auth/users”,”method”:”POST”,”args”:{}

,”thân”:{“tên”:”kiểm tra1″}

}}

[3: Thứ Ba, ngày 29 tháng 8 năm 2023 lúc 23:03:43] {“id”:”4cfce7a5-46c0-11ee-920d-0060486e0a26″,”timestamp”:1693350223507797,”payload”:{“status”:201,”statusmsg”:”Đã tạo”,”body”:{“id”:”SID:S-1-5-21-593535466-4266055735-3901207217-1000″}

}}

Các mục nhật ký kiểm tra, chẳng hạn như những mục ở trên, thường bao gồm các thành phần sau:

1. Dấu thời gian (Con người có thể đọc được)
2. ID mục nhập duy nhất
3. Dấu thời gian (Thời gian Unix Epoch)
4. Số nút
5. Mã thông báo người dùng của người thực hiện lệnh
   1. Nhân vật người dùng (Unix/Windows)
   2. Nhóm nhân vật chính (Unix/Windows)
   3. Nhóm nhân vật bổ sung (Unix/Windows)
   4. Quyền RBAC của người thực hiện lệnh
6. Giao diện được sử dụng để tạo lệnh
   1. 10 = PAPI / WebUI
   2. 16 = Bảng điều khiển
   3. 17 = SSH
7. Vùng truy cập mà lệnh được thực hiện
8. Nơi người dùng kết nối từ
9. Địa chỉ nút cục bộ nơi lệnh được thực thi
10. Yêu cầu
11. Đối số lệnh
12. Thân lệnh

Tiện ích ‘isi_audit_viewer’ tự động đọc chủ đề nhật ký ‘config’ theo mặc định, nhưng cũng có thể được sử dụng để đọc chủ đề nhật ký ‘protocol’. Cú pháp lệnh CLI của nó như sau:

# isi_audit_viewer -h

Cách sử dụng: isi_audit_viewer [ -n <nodeid> | -t <chủ đề> | -s <thời gian bắt đầu>|

         -e <thời gian kết thúc> | -v ]

         -n <nodeid>: Chỉ định id nút để duyệt (mặc định: nút cục bộ)

         -t <chủ đề>: Chọn chủ đề để duyệt.

            Các chủ đề là “config” và “protocol” (mặc định: “config”)

         -s <bắt đầu>: Duyệt nhật ký kiểm tra bắt đầu từ <thời gian bắt đầu>

         -e <end>: Duyệt nhật ký kiểm tra kết thúc tại <endtime>

         -v verbose: In ra phạm vi thời gian bắt đầu/kết thúc trước khi in

             hồ sơ

Lưu ý rằng, trên các cụm lớn có nhiều (lên đến 100.000) ghi kiểm toán, khi chạy tiện ích isi_audit_viewer trên cụm với ‘isi_for_array’, nó có khả năng dẫn đến tình trạng thiếu bộ nhớ và các vấn đề khác – đặc biệt là nếu xuất ra thư mục trong /ifs. Do đó, hãy cân nhắc chuyển hướng đầu ra đến một vị trí không phải IFS như /var/temp. Ngoài ra, cờ ‘-s’ (thời gian bắt đầu) và ‘-e’ (thời gian kết thúc) của isi_audit_viewer có thể được sử dụng để giới hạn tìm kiếm (trong 1-5 phút), giúp giảm kích thước dữ liệu.

Ngoài việc đọc các sự kiện kiểm toán, chế độ xem cũng là một công cụ hữu ích để hỗ trợ khắc phục mọi sự cố kiểm toán. Ngoài ra, mọi lỗi gặp phải khi xử lý các sự kiện kiểm toán và khi phân phối chúng đến máy chủ CEE bên ngoài đều được ghi vào tệp nhật ký ‘/var/log/isi_audit_cee.log’. Ngoài ra, các nhật ký cụ thể của giao thức sẽ chứa mọi sự cố mà bộ lọc kiểm toán đã thu thập trong khi kiểm toán các sự kiện.