Tutorial de Auditd Linux

Tutorial de Auditd Linux

¿Qué es Auditd??

Auditd es el componente del espacio de usuario del sistema de auditoría de Linux. Auditd es la abreviatura de Linux Audit Daemon. En Linux, Daemon se conoce como servicio de ejecución de fondo y hay un 'D' adjunto al final del servicio de aplicación a medida que se ejecuta en segundo plano. El trabajo de Auditd es recopilar y escribir archivos de registro de auditoría en el disco como un servicio de fondo

Por qué usar Auditd?

Este servicio Linux proporciona al usuario un aspecto de auditoría de seguridad en Linux. Los registros que Auditd recopilan y guardan los registros, son diferentes actividades realizadas en el entorno de Linux por el usuario y si hay un caso en el que algún usuario quiera preguntar lo que otros usuarios han estado haciendo en un entorno corporativo o de múltiples usuarios, ese usuario puede Obtenga acceso a este tipo de información en una forma simplificada y minimizada, que se conoce como registros. Además, si ha habido una actividad inusual en el sistema de un usuario, digamos que su sistema se vio comprometido, entonces el usuario puede retroceder y ver cómo se comprometió su sistema y esto también puede ayudar en muchos casos a responder incidentes.

Conceptos básicos de Auditd

El usuario puede buscar a través de los registros guardados por auditar usando ausearch y aureport utilidades. Las reglas de auditoría están en el directorio, /etc/auditoría/auditoría.normas que puede ser leído por auditctl en el arranque. Además, estas reglas también se pueden modificar usando auditctl. Hay un archivo de configuración de auditoría disponible en /etc/audit/auditd.confusión.

Instalación

En las distribuciones de Linux con sede en Debian, el siguiente comando se puede usar para instalar Auditd, si aún no está instalado:

Ubuntu@ubuntu: ~ $ sudo apt-get install auditd audispd-plugins

Comando básico para Auditd:

Para comenzar Auditd:

$ Service Auditd Start

Para detener la auditoría:

$ Service Auditd Stop

Para reiniciar Auditd:

$ Service Auditd reiniciar

Para obtener el estado de Auditd:

$ Service Auditd Status

Para Auditd de reinicio condicional:

$ Service Auditd Condrestart

Para el servicio de auditoría de recarga:

$ Service Auditd Recargue

Para registros de auditoría giratoria:

$ Service Auditd Rotate

Para verificar la salida de configuraciones de auditd:

$ chkconfig -List Auditd

¿Qué información se puede grabar en registros??

  • Información de marca de tiempo y evento como el tipo y el resultado de un evento.
  • Evento activado junto con el usuario que lo activó.
  • Cambios en los archivos de configuración de auditoría.
  • Accionar intentos para archivos de registro de auditoría.
  • Todos los eventos de autenticación con los usuarios autenticados como SSH, etc.
  • Cambios en archivos confidenciales o bases de datos como contraseñas en /etc /passwd.
  • Información entrante y saliente desde y hacia el sistema.

Otras utilidades relacionadas con la auditoría:

Algunas otras utilidades importantes relacionadas con la auditoría se dan a continuación. Solo discutiremos algunos de ellos en detalle, que se usan comúnmente.

Auditctl:

Esta utilidad se utiliza para obtener el estado de comportamiento de la auditoría, establecer, cambiar o actualizar las configuraciones de auditoría. La sintaxis para el uso de auditctl es:

Auditctl [Opciones]

Las siguientes son las opciones o la bandera que se utilizan principalmente:

-w

Para agregar un reloj a un archivo, lo que significa que la auditoría vigilará ese archivo y agregará actividades de usuario relacionadas con ese archivo a los registros.

-k

Para ingresar una tecla o nombre de filtro a la configuración especificada.

-pag

Para agregar un filtro basado en el permiso de los archivos.

-S

Para suprimir la captura de registro para una configuración.

-a

Para obtener todos los resultados para la entrada especificada de esta opción.

Por ejemplo, para agregar un archivo de reloj en /etc /sombra con palabra clave filtrada 'shadow-key' y con permisos como 'rwxa':

$ auditctl -w /etc /shadow -k shadow -file -p rwxa

AuReport:

Esta utilidad se utiliza para generar informes de resumen de registros de auditoría a partir de los registros grabados. La entrada del informe también puede ser datos de registros sin procesar que se alimentan a AuReport usando Stdin. La sintaxis básica para el uso de Aureport es:

AuReport [Opciones]

Algunas de las opciones básicas y más utilizadas son las que se encuentran en:

-k

Para generar un informe basado en las claves especificadas en las reglas o configuraciones de auditoría.

-i

Para mostrar información textual en lugar de información numérica como ID, como mostrar el nombre de usuario en lugar de IDUSEDid.

-au

Para generar un informe de los intentos de autenticación para todos los usuarios.

-l

Para generar el informe que muestra la información de inicio de sesión de los usuarios.

AUSEARCH:

Esta utilidad está buscando herramienta para registros o eventos de auditoría. Los resultados de la búsqueda se muestran a cambio, en función de diferentes consultas de búsqueda. Al igual que AuReport, estas consultas de búsqueda también pueden ser datos de registros sin procesar que se alimentan a AUSEARCH usando Stdin. Por defecto, AUSEARCH consulta los registros colocados /var/log/audit/audit.registro, que se puede mostrar o acceder directamente como comando de tipificación como se muestra a continuación:

$ cat/var/log/audit/audit.registro

La sintaxis simple para usar AUSEARCH es:

AUSEARCH [Opciones]

Además, hay ciertas banderas que se pueden usar con el comando AUSEARCH, algunos indicadores de uso común son:

-pag

Este indicador se utiliza para ingresar ID de proceso para buscar consultas para registros, e.gramo., AUSEARCH -P 6171.

-metro

Este indicador se utiliza para buscar cadenas específicas en archivos de registro, e.gramo., AUSEARCH -M USER_LOGIN.

-SV

Esta opción son valores de éxito si el usuario consulta el valor de éxito para una parte específica de los registros. Esta bandera se usa a menudo con la bandera -m como ausearch -m user_login -sv no.

-ua

Esta opción se utiliza para ingresar un filtro de nombre de usuario para la consulta de búsqueda, e.gramo., AUSEARCH -UA ROOT.

-TS

Esta opción se utiliza para ingresar un filtro de marca de tiempo para la consulta de búsqueda, e.gramo., ausearch -ts ayer.

Auditspd:

Esta utilidad se usa como demonio para la multiplexación de eventos.

Autrace:

Esta utilidad se utiliza para rastrear binarios utilizando componentes de auditoría.

Aulast:

Esta utilidad muestra las últimas actividades grabadas en registros.

aulastlog:

Esta utilidad muestra la última información de inicio de sesión de todos los usuarios o un usuario determinado.

ausyscall:

Esta utilidad permite la asignación de nombres y números de llamadas del sistema.

auvirt:

Esta utilidad muestra la información de auditoría específicamente para las máquinas virtuales.

Concluyente

Aunque la auditoría de Linux es un tema relativamente avanzado para los usuarios no técnicos de Linux, pero dejar que los usuarios decidan por sí mismos, es lo que ofrece Linux. A diferencia de otros sistemas operativos, los sistemas operativos de Linux tienden a mantener a sus usuarios en control de su propio entorno. También siendo un usuario novato o no técnico, uno siempre debe aprender por el propio crecimiento. Espero que este artículo te haya ayudado a aprender algo nuevo y útil.