Seguridad

Tutorial de Linux auditado

Tutorial de Linux auditado

Que es auditado?

Auditd es el componente del espacio de usuario del sistema de auditoría de Linux. Auditd es la abreviatura de Linux Audit Daemon. En Linux, el daemon se conoce como servicio de ejecución en segundo plano y hay una 'd' adjunta al final del servicio de la aplicación, ya que se ejecuta en segundo plano. El trabajo de auditd es recopilar y escribir archivos de registro de auditoría en el disco como un servicio en segundo plano

Por que utilizar auditd?

Este servicio de Linux proporciona al usuario un aspecto de auditoría de seguridad en Linux. Los registros que son recopilados y guardados por Auditado, son diferentes actividades realizadas en el entorno Linux por el usuario y si existe un caso en el que algún usuario quiere preguntar qué han estado haciendo otros usuarios en el entorno corporativo o multiusuario, ese usuario puede obtener acceso a este tipo de información de forma simplificada y minimizada, lo que se conoce como logs. Además, si ha habido una actividad inusual en el sistema de un usuario, digamos que su sistema se vio comprometido, entonces el usuario puede rastrear y ver cómo su sistema se vio comprometido y esto también puede ayudar en muchos casos para responder a incidentes.

Conceptos básicos de auditd

El usuario puede buscar en los registros guardados por auditado utilizando ausearch y aureport utilidades. Las reglas de auditoría están en el directorio, / etc / audit / audit.reglas que puede ser leído por auditctl en el arranque. Además, estas reglas también se pueden modificar utilizando auditctl. Hay un archivo de configuración auditado disponible en / etc / audit / auditd.conf.

Instalación

En las distribuciones de Linux basadas en Debian, el siguiente comando se puede usar para instalar auditd, si aún no está instalado:

[correo electrónico protegido]: ~ $ sudo apt-get install auditd audispd-plugins

Comando básico para auditd:

Para comenzar auditado:

$ servicio auditado inicio

Para detener auditado:

parada auditada del servicio de $

Para reiniciar auditado:

$ service auditd reinicio

Para obtener el estado auditado:

$ estado auditado del servicio

Para reinicio condicional auditado:

$ service auditd condrestart

Para recargar el servicio auditado:

$ servicio de recarga auditada

Para rotar registros auditados:

$ servicio auditado rotar

Para comprobar la salida de configuraciones auditadas:

$ chkconfig --list auditd

¿Qué información se puede registrar en los registros??

Otras utilidades relacionadas con la auditoría:

Algunas otras utilidades importantes relacionadas con la auditoría se dan a continuación. Solo discutiremos algunos de ellos en detalle, que se usan comúnmente.

auditctl:

Esta utilidad se utiliza para obtener el estado del comportamiento de la auditoría, establecer, cambiar o actualizar las configuraciones de auditoría. La sintaxis para el uso de auditctl es:

auditctl [opciones]

A continuación se muestran las opciones o banderas que se utilizan principalmente:

-w

Para agregar un reloj a un archivo, lo que significa que la auditoría vigilará ese archivo y agregará las actividades del usuario relacionadas con ese archivo a los registros.

-k

Para ingresar una clave de filtro o un nombre en la configuración especificada.

-pag

Para agregar un filtro basado en el permiso de los archivos.

-S

Para suprimir la captura de registros para una configuración.

-a

Para obtener todos los resultados para la entrada especificada de esta opción.

Por ejemplo, para agregar una vigilancia en el archivo / etc / shadow con la palabra clave filtrada 'shadow-key' y con permisos como 'rwxa':

$ auditctl -w / etc / shadow -k archivo-sombra -p rwxa

aureport:

Esta utilidad se utiliza para generar informes de resumen de registros de auditoría a partir de los registros registrados. La entrada del informe también pueden ser datos de registros sin procesar que se envían a aureport mediante stdin. La sintaxis básica para el uso de aureport es:

aureport [opciones]

Algunas de las opciones básicas y más utilizadas de aureport son las siguientes:

-k

Generar un informe basado en las claves especificadas en las reglas o configuraciones de auditoría.

-I

Para mostrar información textual en lugar de información numérica como la identificación, como mostrar el nombre de usuario en lugar de la identificación de usuario.

-au

Generar informe de los intentos de autenticación para todos los usuarios.

-l

Generar un informe que muestre la información de inicio de sesión de los usuarios.

ausearch:

Esta utilidad es una herramienta de búsqueda de registros o eventos de auditoría. Los resultados de la búsqueda se muestran a cambio, basados ​​en diferentes consultas de búsqueda. Al igual que aureport, estas consultas de búsqueda también pueden ser datos de registros sin procesar que se envían a ausearch mediante stdin. Por defecto, ausearch consulta los registros colocados en / var / log / audit / audit.Iniciar sesión, que se puede mostrar o acceder directamente como comando de escritura como se muestra a continuación:

$ cat / var / log / audit / audit.Iniciar sesión

La sintaxis simple para usar ausearch es:

ausearch [opciones]

Además, hay ciertas banderas que se pueden usar con un comandousearch, algunas de las que se usan comúnmente son:

-pag

Esta bandera se utiliza para ingresar ID de proceso para buscar consultas de registros, e.gramo., ausearch -p 6171.

-metro

Esta bandera se utiliza para buscar cadenas específicas en archivos de registro, e.gramo., ausearch -m USER_LOGIN.

-sv

Esta opción es valores de éxito si el usuario consulta el valor de éxito para una parte específica de los registros. Esta bandera se usa a menudo con la bandera -m como ausearch -m USER_LOGIN -sv no.

-ua

Esta opción se usa para ingresar un filtro de nombre de usuario para la consulta de búsqueda, e.gramo., ausearch -ua root.

-ts

Esta opción se usa para ingresar un filtro de marca de tiempo para la consulta de búsqueda, e.gramo., ausearch -ts ayer.

auditspd:

Esta utilidad se utiliza como demonio para la multiplexación de eventos.

autrace:

Esta utilidad se usa para rastrear binarios usando componentes de auditoría.

aulast:

Esta utilidad muestra las últimas actividades registradas en los registros.

aulastlog:

Esta utilidad muestra la información de inicio de sesión más reciente de todos los usuarios o de un usuario determinado.

ausyscall:

Esta utilidad permite el mapeo de nombres y números de llamadas al sistema.

auvirt:

Esta utilidad muestra la información de auditoría específicamente para las máquinas virtuales.

Concluyendo

Aunque la auditoría de Linux es un tema relativamente avanzado para los usuarios de Linux sin conocimientos técnicos, pero dejar que los usuarios decidan por sí mismos, es lo que ofrece Linux. A diferencia de otros sistemas operativos, los sistemas operativos Linux tienden a mantener a sus usuarios en control de su propio entorno. Además, siendo un usuario novato o no técnico, uno siempre debe estar aprendiendo para su propio crecimiento. Espero que este artículo te haya ayudado a aprender algo nuevo y útil.

Ratón El botón de clic izquierdo del mouse no funciona en Windows 10
El botón de clic izquierdo del mouse no funciona en Windows 10
Si está utilizando un mouse dedicado con su computadora portátil o computadora de escritorio, pero el el botón izquierdo del mouse no funciona en Wind...
Ratón El cursor salta o se mueve aleatoriamente mientras escribe en Windows 10
El cursor salta o se mueve aleatoriamente mientras escribe en Windows 10
Si descubre que el cursor del mouse salta o se mueve por sí solo, automáticamente, de manera aleatoria mientras escribe en una computadora portátil o ...
Ratón Cómo invertir la dirección de desplazamiento del mouse y los paneles táctiles en Windows 10
Cómo invertir la dirección de desplazamiento del mouse y los paneles táctiles en Windows 10
Ratón y Panel táctils no solo facilitan la informática, sino que también hacen que sea más eficiente y requieran menos tiempo. No podemos imaginar una...