Que es auditado?
Auditd es el componente del espacio de usuario del sistema de auditoría de Linux. Auditd es la abreviatura de Linux Audit Daemon. En Linux, el daemon se conoce como servicio de ejecución en segundo plano y hay una 'd' adjunta al final del servicio de la aplicación, ya que se ejecuta en segundo plano. El trabajo de auditd es recopilar y escribir archivos de registro de auditoría en el disco como un servicio en segundo plano
Por que utilizar auditd?
Este servicio de Linux proporciona al usuario un aspecto de auditoría de seguridad en Linux. Los registros que son recopilados y guardados por Auditado, son diferentes actividades realizadas en el entorno Linux por el usuario y si existe un caso en el que algún usuario quiere preguntar qué han estado haciendo otros usuarios en el entorno corporativo o multiusuario, ese usuario puede obtener acceso a este tipo de información de forma simplificada y minimizada, lo que se conoce como logs. Además, si ha habido una actividad inusual en el sistema de un usuario, digamos que su sistema se vio comprometido, entonces el usuario puede rastrear y ver cómo su sistema se vio comprometido y esto también puede ayudar en muchos casos para responder a incidentes.
Conceptos básicos de auditd
El usuario puede buscar en los registros guardados por auditado utilizando ausearch y aureport utilidades. Las reglas de auditoría están en el directorio, / etc / audit / audit.reglas que puede ser leído por auditctl en el arranque. Además, estas reglas también se pueden modificar utilizando auditctl. Hay un archivo de configuración auditado disponible en / etc / audit / auditd.conf.
Instalación
En las distribuciones de Linux basadas en Debian, el siguiente comando se puede usar para instalar auditd, si aún no está instalado:
[correo electrónico protegido]: ~ $ sudo apt-get install auditd audispd-pluginsComando básico para auditd:
Para comenzar auditado:
$ servicio auditado inicioPara detener auditado:
parada auditada del servicio de $Para reiniciar auditado:
$ service auditd reinicioPara obtener el estado auditado:
$ estado auditado del servicioPara reinicio condicional auditado:
$ service auditd condrestartPara recargar el servicio auditado:
$ servicio de recarga auditadaPara rotar registros auditados:
$ servicio auditado rotarPara comprobar la salida de configuraciones auditadas:
$ chkconfig --list auditd¿Qué información se puede registrar en los registros??
- Marca de tiempo e información del evento, como el tipo y resultado de un evento.
- Evento desencadenado junto con el usuario que lo desencadenó.
- Cambios en los archivos de configuración de auditoría.
- Intentos de acceso a archivos de registro de auditoría.
- Todos los eventos de autenticación con los usuarios autenticados como ssh, etc.
- Cambios en bases de datos o archivos confidenciales, como contraseñas en / etc / passwd.
- Información entrante y saliente desde y hacia el sistema.
Otras utilidades relacionadas con la auditoría:
Algunas otras utilidades importantes relacionadas con la auditoría se dan a continuación. Solo discutiremos algunos de ellos en detalle, que se usan comúnmente.
auditctl:
Esta utilidad se utiliza para obtener el estado del comportamiento de la auditoría, establecer, cambiar o actualizar las configuraciones de auditoría. La sintaxis para el uso de auditctl es:
auditctl [opciones]A continuación se muestran las opciones o banderas que se utilizan principalmente:
-w
Para agregar un reloj a un archivo, lo que significa que la auditoría vigilará ese archivo y agregará las actividades del usuario relacionadas con ese archivo a los registros.
-k
Para ingresar una clave de filtro o un nombre en la configuración especificada.
-pag
Para agregar un filtro basado en el permiso de los archivos.
-S
Para suprimir la captura de registros para una configuración.
-a
Para obtener todos los resultados para la entrada especificada de esta opción.
Por ejemplo, para agregar una vigilancia en el archivo / etc / shadow con la palabra clave filtrada 'shadow-key' y con permisos como 'rwxa':
$ auditctl -w / etc / shadow -k archivo-sombra -p rwxaaureport:
Esta utilidad se utiliza para generar informes de resumen de registros de auditoría a partir de los registros registrados. La entrada del informe también pueden ser datos de registros sin procesar que se envían a aureport mediante stdin. La sintaxis básica para el uso de aureport es:
aureport [opciones]Algunas de las opciones básicas y más utilizadas de aureport son las siguientes:
-k
Generar un informe basado en las claves especificadas en las reglas o configuraciones de auditoría.
-I
Para mostrar información textual en lugar de información numérica como la identificación, como mostrar el nombre de usuario en lugar de la identificación de usuario.
-au
Generar informe de los intentos de autenticación para todos los usuarios.
-l
Generar un informe que muestre la información de inicio de sesión de los usuarios.
ausearch:
Esta utilidad es una herramienta de búsqueda de registros o eventos de auditoría. Los resultados de la búsqueda se muestran a cambio, basados en diferentes consultas de búsqueda. Al igual que aureport, estas consultas de búsqueda también pueden ser datos de registros sin procesar que se envían a ausearch mediante stdin. Por defecto, ausearch consulta los registros colocados en / var / log / audit / audit.Iniciar sesión, que se puede mostrar o acceder directamente como comando de escritura como se muestra a continuación:
$ cat / var / log / audit / audit.Iniciar sesiónLa sintaxis simple para usar ausearch es:
ausearch [opciones]Además, hay ciertas banderas que se pueden usar con un comandousearch, algunas de las que se usan comúnmente son:
-pag
Esta bandera se utiliza para ingresar ID de proceso para buscar consultas de registros, e.gramo., ausearch -p 6171.
-metro
Esta bandera se utiliza para buscar cadenas específicas en archivos de registro, e.gramo., ausearch -m USER_LOGIN.
-sv
Esta opción es valores de éxito si el usuario consulta el valor de éxito para una parte específica de los registros. Esta bandera se usa a menudo con la bandera -m como ausearch -m USER_LOGIN -sv no.
-ua
Esta opción se usa para ingresar un filtro de nombre de usuario para la consulta de búsqueda, e.gramo., ausearch -ua root.
-ts
Esta opción se usa para ingresar un filtro de marca de tiempo para la consulta de búsqueda, e.gramo., ausearch -ts ayer.
auditspd:
Esta utilidad se utiliza como demonio para la multiplexación de eventos.
autrace:
Esta utilidad se usa para rastrear binarios usando componentes de auditoría.
aulast:
Esta utilidad muestra las últimas actividades registradas en los registros.
aulastlog:
Esta utilidad muestra la información de inicio de sesión más reciente de todos los usuarios o de un usuario determinado.
ausyscall:
Esta utilidad permite el mapeo de nombres y números de llamadas al sistema.
auvirt:
Esta utilidad muestra la información de auditoría específicamente para las máquinas virtuales.
Concluyendo
Aunque la auditoría de Linux es un tema relativamente avanzado para los usuarios de Linux sin conocimientos técnicos, pero dejar que los usuarios decidan por sí mismos, es lo que ofrece Linux. A diferencia de otros sistemas operativos, los sistemas operativos Linux tienden a mantener a sus usuarios en control de su propio entorno. Además, siendo un usuario novato o no técnico, uno siempre debe estar aprendiendo para su propio crecimiento. Espero que este artículo te haya ayudado a aprender algo nuevo y útil.