Tutorial de Linux auditado

Seguridad

¿Qué es Auditd?

Auditd es el componente del espacio de usuario del sistema de auditoría de Linux. Auditd es la abreviatura de Linux Audit Daemon. En Linux, el daemon se conoce como servicio de ejecución en segundo plano y hay una ‘d’ adjunta al final del servicio de la aplicación mientras se ejecuta en segundo plano. El trabajo de auditd es recopilar y escribir archivos de registro de auditoría en el disco como un servicio en segundo plano.

¿Por qué utilizar auditd?

Este servicio de Linux proporciona al usuario un aspecto de auditoría de seguridad en Linux. Los registros que son recopilados y guardados por Auditado, son diferentes actividades realizadas en el entorno Linux por el usuario y si existe un caso en el que algún usuario quiere preguntar qué han estado haciendo otros usuarios en el entorno corporativo o multiusuario, ese usuario puede acceda a este tipo de información de forma simplificada y minimizada, lo que se conoce como logs. Además, si ha habido una actividad inusual en el sistema de un usuario, digamos que su sistema se vio comprometido, entonces el usuario puede rastrear y ver cómo se comprometió su sistema y esto también puede ayudar en muchos casos para responder a incidentes.

Conceptos básicos de auditd

El usuario puede buscar a través de los registros guardados auditando utilizando las utilidades ausearch y aureport . Las normas de auditoría están en el directorio, /etc/audit/audit.rules que pueden ser leídos por AUDITCTL en el arranque. Además, estas reglas también se pueden modificar mediante auditctl . Hay un archivo de configuración auditado disponible en /etc/audit/auditd.conf .

Instalación

En las distribuciones de Linux basadas en Debian, el siguiente comando se puede usar para instalar auditd, si aún no está instalado:

[email protected]:~$ sudo apt-get install auditd audispd-plugins

Comando básico para auditd:

Para comenzar auditado:

$ service auditd start

Para detener auditado:

$ service auditd stop

Para reiniciar auditado:

$ service auditd restart

Para obtener el estado auditado:

$ service auditd status

Para reinicio condicional auditado:

$ service auditd condrestart

Para recargar el servicio auditado:

$ service auditd reload

Para rotar registros auditados:

$ service auditd rotate

Para comprobar la salida de configuraciones auditadas:

$ chkconfig –list auditd

¿Qué información se puede registrar en los registros?

  • Marca de tiempo e información del evento, como el tipo y resultado de un evento.
  • Evento desencadenado junto con el usuario que lo desencadenó.
  • Cambios en los archivos de configuración de auditoría.
  • Intentos de acceso para archivos de registro de auditoría.
  • Todos los eventos de autenticación con los usuarios autenticados como ssh, etc.
  • Cambios en bases de datos o archivos confidenciales, como contraseñas en / etc / passwd.
  • Información entrante y saliente desde y hacia el sistema.

Otras utilidades relacionadas con la auditoría:

Algunas otras utilidades importantes relacionadas con la auditoría se detallan a continuación. Solo discutiremos algunos de ellos en detalle, que se usan comúnmente.

auditctl:

Esta utilidad se utiliza para obtener el estado del comportamiento de auditar, establecer, cambiar o actualizar las configuraciones de auditoría. La sintaxis para el uso de auditctl es:

auditctl [options]

A continuación se muestran las opciones o banderas que se utilizan con mayor frecuencia:

-w

Para agregar un reloj a un archivo, lo que significa que la auditoría vigilará ese archivo y agregará las actividades del usuario relacionadas con ese archivo a los registros.

-k

Para ingresar una clave de filtro o un nombre en la configuración especificada.

-pag

Para agregar un filtro basado en el permiso de los archivos.

-S

Para suprimir la captura de registros para una configuración.

-a

Para obtener todos los resultados de la entrada especificada de esta opción.

Por ejemplo, para agregar una vigilancia en el archivo / etc / shadow con la palabra clave filtrada ‘shadow-key’ y con permisos como ‘rwxa’:

$ auditctl -w /etc/shadow -k shadow-file -p rwxa

aureport:

Esta utilidad se utiliza para generar informes de resumen de registros de auditoría a partir de los registros registrados. La entrada del informe también pueden ser datos de registros sin procesar que se envían a aureport mediante stdin. La sintaxis básica para el uso de aureport es:

aureport [options]

Algunas de las opciones básicas y más utilizadas de aureport son las siguientes:

-k

Generar un informe basado en las claves especificadas en las reglas o configuraciones de auditoría.

-I

Para mostrar información textual en lugar de información numérica como la identificación, como mostrar el nombre de usuario en lugar de la identificación de usuario.

-au

Generar informe de los intentos de autenticación para todos los usuarios.

-l

Generar informe que muestre la información de inicio de sesión de los usuarios.

ausearch:

Esta utilidad es una herramienta de búsqueda de registros o eventos de auditoría. Los resultados de la búsqueda se muestran a cambio, basados ​​en diferentes consultas de búsqueda. Al igual que aureport, estas consultas de búsqueda también pueden ser datos de registros sin procesar que se envían a ausearch mediante stdin. De forma predeterminada, ausearch consulta los registros ubicados en /var/log/audit/audit.log , que se pueden mostrar o acceder directamente como comando de escritura como se muestra a continuación:

$ cat /var/log/audit/audit.log

La sintaxis simple para usar ausearch es:

ausearch [options]

Además, hay ciertas banderas que se pueden usar con un comandousearch, algunas de las que se usan comúnmente son:

-pag

Esta bandera se usa para ingresar ID de proceso para buscar consultas de registros, por ejemplo, ausearch -p 6171 .

-metro

Este indicador se utiliza para buscar cadenas específicas en archivos de registro, por ejemplo, ausearch -m USER_LOGIN .

-sv

Esta opción es valores de éxito si el usuario consulta el valor de éxito para una parte específica de los registros. Este indicador se usa a menudo con el indicador -m como ausearch -m USER_LOGIN -sv no .

-ua

Esta opción se usa para ingresar un filtro de nombre de usuario para la consulta de búsqueda, por ejemplo, ausearch -ua root .

-ts

Esta opción se usa para ingresar un filtro de marca de tiempo para la consulta de búsqueda, por ejemplo, ausearch -ts ayer .

auditspd:

Esta utilidad se utiliza como demonio para la multiplexación de eventos.

autrace:

Esta utilidad se utiliza para rastrear binarios mediante componentes de auditoría.

aulast:

Esta utilidad muestra las últimas actividades registradas en registros.

aulastlog :

Esta utilidad muestra la información de inicio de sesión más reciente de todos los usuarios o de un usuario determinado.

ausyscall :

Esta utilidad permite el mapeo de nombres y números de llamadas al sistema.

auvirt :

Esta utilidad muestra la información de auditoría específicamente para las máquinas virtuales.

Concluyendo

Aunque la auditoría de Linux es un tema relativamente avanzado para los usuarios de Linux no técnicos, pero dejar que los usuarios decidan por sí mismos, es lo que ofrece Linux. A diferencia de otros sistemas operativos, los sistemas operativos Linux tienden a mantener a sus usuarios en control de su propio entorno. Además, siendo un usuario novato o no técnico, uno siempre debe estar aprendiendo para su propio crecimiento. Espero que este artículo te haya ayudado a aprender algo nuevo y útil.

Related Posts

Leave a Comment

Your email address will not be published. Required fields are marked *

Hazlo Linux