Segurança

Tutorial do Auditd Linux

Tutorial do Auditd Linux

O que é Auditd?

Auditd é o componente do espaço do usuário para o Sistema de Auditoria Linux. Auditd é a abreviatura de Linux Audit Daemon. No Linux, o daemon é referido como serviço de execução em segundo plano e há um 'd' anexado no final do serviço de aplicativo conforme ele é executado em segundo plano. O trabalho do auditd é coletar e gravar arquivos de log de auditoria no disco como um serviço de segundo plano

Por que usar auditd?

Este serviço Linux fornece ao usuário um aspecto de auditoria de segurança no Linux. Os logs que são coletados e salvos pelo auditd, são diferentes atividades realizadas no ambiente Linux pelo usuário e se houver um caso em que algum usuário deseja perguntar o que outros usuários têm feito em um ambiente corporativo ou de vários usuários, esse usuário pode ter acesso a esse tipo de informação de forma simplificada e minimizada, que são conhecidos como logs. Além disso, se houve uma atividade incomum no sistema de um usuário, digamos que seu sistema foi comprometido, o usuário pode rastrear e ver como seu sistema foi comprometido e isso também pode ajudar em muitos casos para resposta a incidentes.

Noções básicas de auditd

O usuário pode pesquisar os logs salvos por auditd usando ausearch e aureport Serviços de utilidade pública. As regras de auditoria estão no diretório, / etc / audit / audit.as regras que pode ser lido por auditctl no arranque. Além disso, essas regras também podem ser modificadas usando auditctl. Existe um arquivo de configuração auditd disponível em / etc / audit / auditd.conf.

Instalação

Em distribuições Linux baseadas em debian, o seguinte comando pode ser usado para instalar o auditd, se ainda não estiver instalado:

[email protegido]: ~ $ sudo apt-get install auditd audispd-plugins

Comando básico para auditd:

Para iniciar o auditd:

$ service auditd start

Para parar auditd:

$ service auditd stop

Para reiniciar auditd:

$ service auditd restart

Para buscar o status auditd:

$ service auditd status

Para auditoria de reinício condicional:

$ service auditd condrestart

Para recarregar o serviço auditd:

$ service auditd reload

Para logs auditd rotativos:

$ service auditd rotate

Para verificar a saída de configurações do auditd:

$ chkconfig --list auditd

Quais informações podem ser registradas nos registros?

Outros utilitários relacionados à auditoria:

Alguns outros utilitários importantes relacionados à auditoria são fornecidos abaixo. Discutiremos apenas alguns deles em detalhes, que são comumente usados.

auditctl:

Este utilitário é usado para obter o status do comportamento de auditoria, definir, alterar ou atualizar as configurações de auditoria. A sintaxe para uso auditctl é:

auditctl [opções]

A seguir estão as opções ou sinalizadores mais usados:

-C

Para adicionar um relógio a um arquivo, o que significa que a auditoria ficará de olho nesse arquivo e adicionará atividades do usuário relacionadas a esse arquivo aos registros.

-k

Para inserir uma chave de filtro ou nome para a configuração especificada.

-p

Para adicionar um filtro com base na permissão de arquivos.

-S

Para suprimir a captura de log para uma configuração.

-uma

Para obter todos os resultados para a entrada especificada desta opção.

Por exemplo, para adicionar um relógio no arquivo / etc / shadow com a palavra-chave filtrada 'shadow-key' e com permissões como 'rwxa':

$ auditctl -w / etc / shadow -k arquivo-sombra -p rwxa

aureport:

Este utilitário é usado para gerar relatórios de resumo de log de auditoria a partir dos logs gravados. A entrada do relatório também pode ser dados de registros brutos que são alimentados para aureport usando stdin. A sintaxe básica para o uso do aureport é:

aureport [opções]

Algumas das opções de aureport básicas e mais comumente usadas são as seguintes:

-k

Para gerar um relatório com base nas chaves especificadas nas regras ou configurações de auditoria.

-eu

Para exibir informações textuais em vez de informações numéricas como id, como exibir nome de usuário em vez de ID de usuário.

-au

Para gerar relatório das tentativas de autenticação para todos os usuários.

-eu

Para gerar relatório exibindo as informações de login dos usuários.

ausearch:

Este utilitário é uma ferramenta de pesquisa de logs ou eventos de auditoria. Os resultados da pesquisa são exibidos em retorno, com base em diferentes consultas de pesquisa. Como aureport, essas consultas de pesquisa também podem ser dados de registros brutos que são alimentados para ausearch usando stdin. Por padrão, uma pesquisa ausearch consulta os registros colocados em / var / log / audit / audit.registro, que pode ser exibido diretamente ou acessado como um comando de digitação conforme abaixo:

$ cat / var / log / audit / audit.registro

A sintaxe simples para usar ausearch é:

ausearch [opções]

Além disso, existem certos sinalizadores que podem ser usados ​​com o comando ausearch, alguns sinalizadores comumente usados ​​são:

-p

Este sinalizador é usado para inserir IDs de processo para pesquisar consultas de logs, e.g., ausearch -p 6171.

-m

Este sinalizador é usado para pesquisar strings específicas em arquivos de log, e.g., ausearch -m USER_LOGIN.

-sv

Esta opção é valores de sucesso se o usuário estiver consultando o valor de sucesso para uma parte específica dos registros. Este sinalizador é frequentemente usado com o sinalizador -m, como ausearch -m USER_LOGIN -sv no.

-ua

Esta opção é usada para inserir um filtro de nome de usuário para a consulta de pesquisa, e.g., ausearch -ua root.

-ts

Esta opção é usada para inserir um filtro de carimbo de data / hora para a consulta de pesquisa, e.g., ausearch -ts ontem.

auditspd:

Este utilitário é usado como um daemon para multiplexação de eventos.

autrace:

Este utilitário é usado para rastrear binários usando componentes de auditoria.

aulast:

Este utilitário mostra as atividades mais recentes registradas nos logs.

aulastlog:

Este utilitário mostra as informações de login mais recentes de todos os usuários ou de um determinado usuário.

ausyscall:

Este utilitário permite o mapeamento de nomes e números de chamadas do sistema.

Auvirt:

Este utilitário mostra as informações de auditoria especificamente para as máquinas virtuais.

Concluindo

Embora a auditoria do Linux seja um tópico relativamente avançado para usuários não técnicos do Linux, mas permitindo que os usuários decidam por si mesmos, é o que o Linux oferece. Ao contrário de outros sistemas operacionais, os sistemas operacionais Linux tendem a manter seus usuários no controle de seu próprio ambiente. Também sendo um usuário novato ou não técnico, deve-se estar sempre aprendendo para o próprio crescimento. Espero que este artigo tenha ajudado você a aprender algo novo e útil.

Mouse Como alterar o ponteiro do mouse e tamanho do cursor, cor e esquema no Windows 10
Como alterar o ponteiro do mouse e tamanho do cursor, cor e esquema no Windows 10
O ponteiro do mouse e o cursor no Windows 10 são aspectos muito importantes do sistema operacional. Isso também pode ser dito para outros sistemas ope...
Jogos Mecanismos de jogos gratuitos e de código aberto para o desenvolvimento de jogos Linux
Mecanismos de jogos gratuitos e de código aberto para o desenvolvimento de jogos Linux
Este artigo cobrirá uma lista de mecanismos de jogo gratuitos e de código aberto que podem ser usados ​​para desenvolver jogos 2D e 3D no Linux. Exist...
Jogos Tutorial de Shadow of the Tomb Raider para Linux
Tutorial de Shadow of the Tomb Raider para Linux
Shadow of the Tomb Raider é a décima segunda adição à série Tomb Raider - uma franquia de jogos de ação e aventura criada pela Eidos Montreal. O jogo ...