Configurar la auditoría del sistema Linux con auditd

Los administradores de sistemas usan auditorías para descubrir brechas de seguridad y rastrear información relacionada con la seguridad en sus sistemas. Basado en reglas y propiedades preconfiguradas, el demonio de auditoría (auditd) genera entradas de registro para registrar información sobre eventos que ocurren en el sistema. Los administradores utilizan esta información para analizar lo que estaba mal con las políticas de seguridad y mejorarlas aún más mediante la adopción de medidas adicionales.

Este artículo explica cómo instalar, configurar y administrar el servicio de auditoría. También muestra cómo establecer reglas de auditoría, buscar registros de auditoría y crear informes de auditoría. Si es nuevo en la auditoría de sistemas, este artículo lo ayudará a obtener una comprensión básica y el uso de la auditoría en su sistema.

Índice

    Instalar paquetes de auditoría

    El paquete de auditoría se instala de forma predeterminada en Red Hat Enterprise Linux (RHEL) 7 y versiones posteriores. Si no está instalado, agréguelo con el siguiente comando:

    $ sudo dnf install audit

    El archivo de configuración de auditoría se encuentra en /etc/audit/auditd.conf. El archivo contiene los ajustes de configuración predeterminados que modifican el comportamiento del auditd Demonio.

    Gestionar el servicio de auditoría

    Una vez auditd está configurado, inicie el servicio para recopilar la información de auditoría:

    $ sudo service auditd start

    La única razón para usar el service ordenar en lugar de systemctl es registrar correctamente un valor de ID de usuario (UID).

    [ Sign up for the free online course RHEL technical overview. ]

    Activar el auditd daemon para que pueda iniciarse al inicio:

    $ sudo systemctl enable auditd

    Definir reglas de auditoría

    Con el auditctl herramienta, puede agregar reglas de auditoría en cualquier llamada al sistema que desee.

    El orden es importante para que las reglas funcionen según lo previsto y para que el servicio funcione de forma ganadora en el primer juego.

    El siguiente paso define el mira la regla. Esta regla determina si ciertos tipos de acceso activan un archivo o directorio, incluidos los cambios de lectura, escritura, ejecución y atributos.

    La sintaxis para definir las reglas de seguimiento es:

    auditctl -w path_to_file -p permissions -k key_name

    Para auditar las acciones de creación de usuarios, primero agregue un reloj a la /etc/passwd para rastrear el acceso de escritura y la modificación de atributos, y agregar una clave personalizada para registrar todos los mensajes (esta clave personalizada es útil para filtrar los mensajes de registro):

    $ sudo auditctl -w /etc/passwd -p wa -k user-modify

    Luego agregue un nuevo usuario. Esto cambia el /etc/passwd archivar:

    $ sudo useradd testuser

    Por último, compruebe si auditd guardó el cambio. Por defecto, auditd almacenar registros en /var/log/audit/audit.log archivar:

    $ sudo cat /var/log/audit/audit.log | grep user-modify

    El resultado muestra varias propiedades, como la llamada al sistema activada por qué usuario, el tipo de cambio, el UID y el ID de grupo (GID) del usuario que ejecutó el comando, y muchos más.

    [ Download the Linux commands cheat sheet, so you always have the right command at hand. ]

    Visita el auditctl página man para más ejemplos de auditoría. Para opciones específicas use auditctl --help.

    Definir reglas de auditoría persistentes

    Para que las reglas de auditoría sean persistentes en los reinicios, agréguelas al /etc/audit/rules.d/audit.rules archivar. Este archivo contiene auditctl comandos tal y como se introducirían en la línea de comandos, pero sin la auditctl orden por delante.

    Definir reglas persistentes en el audit.rules archivo para ver /etc/passwd archivo para modificaciones.

    Abrir documento /etc/audit/rules.d/audit.rules en su editor de texto favorito y agregue esta línea:

    -w /etc/passwd -p wa -k user-modify

    Guarde el archivo, luego vuelva a cargar el auditd daemon para implementar los cambios de configuración en el archivo de reglas:

    $ sudo service auditd reload

    Correr auditctl -l para enumerar las reglas.

    Finalmente, agregue un nuevo usuario o cambie la configuración que activa el /etc/passwd archivo a modificar. El cambio se guarda /var/log/audit/audit.log, e incluso si se reinicia el sistema, las reglas persisten.

    Buscar registros de auditoría

    Utilizar el ausearch herramienta de búsqueda de registros de auditoría. Por defecto, busca el /var/log/audit/audit.log archivar.

    Por ejemplo, para buscar entradas de registro basadas en Nombre clave:

    $ sudo ausearch -i -k user-modify

    Crear informes de auditoría

    Utilizar el aureport herramienta para consultar y crear informes de auditoría basados ​​en registros de auditoría.

    Por ejemplo, para generar un informe de todos los eventos ejecutables, ejecute:

    $ sudo aureport -x

    Concluir

    En este artículo has descubierto auditd, los paquetes instalados requeridos por auditd, y manejó la auditd servicio iniciándolo, activándolo y reiniciándolo donde y cuando sea necesario. Has aprendido a definir auditd gobernar temporalmente con auditctl y con persistencia en el audit.rules archivar. Finalmente, buscó registros de auditoría y generó informes de auditoría con el ausearch y aureport comandos, respectivamente.

    Artículos de interés

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir