O que é Auditd?
Auditd é o componente do espaço do usuário para o Sistema de Auditoria Linux. Auditd é a abreviatura de Linux Audit Daemon. No Linux, o daemon é referido como serviço de execução em segundo plano e há um 'd' anexado no final do serviço de aplicativo conforme ele é executado em segundo plano. O trabalho do auditd é coletar e gravar arquivos de log de auditoria no disco como um serviço de segundo plano
Por que usar auditd?
Este serviço Linux fornece ao usuário um aspecto de auditoria de segurança no Linux. Os logs que são coletados e salvos pelo auditd, são diferentes atividades realizadas no ambiente Linux pelo usuário e se houver um caso em que algum usuário deseja perguntar o que outros usuários têm feito em um ambiente corporativo ou de vários usuários, esse usuário pode ter acesso a esse tipo de informação de forma simplificada e minimizada, que são conhecidos como logs. Além disso, se houve uma atividade incomum no sistema de um usuário, digamos que seu sistema foi comprometido, o usuário pode rastrear e ver como seu sistema foi comprometido e isso também pode ajudar em muitos casos para resposta a incidentes.
Noções básicas de auditd
O usuário pode pesquisar os logs salvos por auditd usando ausearch e aureport Serviços de utilidade pública. As regras de auditoria estão no diretório, / etc / audit / audit.as regras que pode ser lido por auditctl no arranque. Além disso, essas regras também podem ser modificadas usando auditctl. Existe um arquivo de configuração auditd disponível em / etc / audit / auditd.conf.
Instalação
Em distribuições Linux baseadas em debian, o seguinte comando pode ser usado para instalar o auditd, se ainda não estiver instalado:
[email protegido]: ~ $ sudo apt-get install auditd audispd-pluginsComando básico para auditd:
Para iniciar o auditd:
$ service auditd startPara parar auditd:
$ service auditd stopPara reiniciar auditd:
$ service auditd restartPara buscar o status auditd:
$ service auditd statusPara auditoria de reinício condicional:
$ service auditd condrestartPara recarregar o serviço auditd:
$ service auditd reloadPara logs auditd rotativos:
$ service auditd rotatePara verificar a saída de configurações do auditd:
$ chkconfig --list auditdQuais informações podem ser registradas nos registros?
- Carimbo de data / hora e informações de evento, como tipo e resultado de um evento.
- Evento disparado junto com o usuário que o disparou.
- Mudanças nos arquivos de configuração de auditoria.
- Tentativas de acesso para arquivos de registro de auditoria.
- Todos os eventos de autenticação com os usuários autenticados, como ssh, etc.
- Mudanças em arquivos confidenciais ou bancos de dados, como senhas em / etc / passwd.
- Informações de entrada e saída de e para o sistema.
Outros utilitários relacionados à auditoria:
Alguns outros utilitários importantes relacionados à auditoria são fornecidos abaixo. Discutiremos apenas alguns deles em detalhes, que são comumente usados.
auditctl:
Este utilitário é usado para obter o status do comportamento de auditoria, definir, alterar ou atualizar as configurações de auditoria. A sintaxe para uso auditctl é:
auditctl [opções]A seguir estão as opções ou sinalizadores mais usados:
-C
Para adicionar um relógio a um arquivo, o que significa que a auditoria ficará de olho nesse arquivo e adicionará atividades do usuário relacionadas a esse arquivo aos registros.
-k
Para inserir uma chave de filtro ou nome para a configuração especificada.
-p
Para adicionar um filtro com base na permissão de arquivos.
-S
Para suprimir a captura de log para uma configuração.
-uma
Para obter todos os resultados para a entrada especificada desta opção.
Por exemplo, para adicionar um relógio no arquivo / etc / shadow com a palavra-chave filtrada 'shadow-key' e com permissões como 'rwxa':
$ auditctl -w / etc / shadow -k arquivo-sombra -p rwxaaureport:
Este utilitário é usado para gerar relatórios de resumo de log de auditoria a partir dos logs gravados. A entrada do relatório também pode ser dados de registros brutos que são alimentados para aureport usando stdin. A sintaxe básica para o uso do aureport é:
aureport [opções]Algumas das opções de aureport básicas e mais comumente usadas são as seguintes:
-k
Para gerar um relatório com base nas chaves especificadas nas regras ou configurações de auditoria.
-eu
Para exibir informações textuais em vez de informações numéricas como id, como exibir nome de usuário em vez de ID de usuário.
-au
Para gerar relatório das tentativas de autenticação para todos os usuários.
-eu
Para gerar relatório exibindo as informações de login dos usuários.
ausearch:
Este utilitário é uma ferramenta de pesquisa de logs ou eventos de auditoria. Os resultados da pesquisa são exibidos em retorno, com base em diferentes consultas de pesquisa. Como aureport, essas consultas de pesquisa também podem ser dados de registros brutos que são alimentados para ausearch usando stdin. Por padrão, uma pesquisa ausearch consulta os registros colocados em / var / log / audit / audit.registro, que pode ser exibido diretamente ou acessado como um comando de digitação conforme abaixo:
$ cat / var / log / audit / audit.registroA sintaxe simples para usar ausearch é:
ausearch [opções]Além disso, existem certos sinalizadores que podem ser usados com o comando ausearch, alguns sinalizadores comumente usados são:
-p
Este sinalizador é usado para inserir IDs de processo para pesquisar consultas de logs, e.g., ausearch -p 6171.
-m
Este sinalizador é usado para pesquisar strings específicas em arquivos de log, e.g., ausearch -m USER_LOGIN.
-sv
Esta opção é valores de sucesso se o usuário estiver consultando o valor de sucesso para uma parte específica dos registros. Este sinalizador é frequentemente usado com o sinalizador -m, como ausearch -m USER_LOGIN -sv no.
-ua
Esta opção é usada para inserir um filtro de nome de usuário para a consulta de pesquisa, e.g., ausearch -ua root.
-ts
Esta opção é usada para inserir um filtro de carimbo de data / hora para a consulta de pesquisa, e.g., ausearch -ts ontem.
auditspd:
Este utilitário é usado como um daemon para multiplexação de eventos.
autrace:
Este utilitário é usado para rastrear binários usando componentes de auditoria.
aulast:
Este utilitário mostra as atividades mais recentes registradas nos logs.
aulastlog:
Este utilitário mostra as informações de login mais recentes de todos os usuários ou de um determinado usuário.
ausyscall:
Este utilitário permite o mapeamento de nomes e números de chamadas do sistema.
Auvirt:
Este utilitário mostra as informações de auditoria especificamente para as máquinas virtuais.
Concluindo
Embora a auditoria do Linux seja um tópico relativamente avançado para usuários não técnicos do Linux, mas permitindo que os usuários decidam por si mesmos, é o que o Linux oferece. Ao contrário de outros sistemas operacionais, os sistemas operacionais Linux tendem a manter seus usuários no controle de seu próprio ambiente. Também sendo um usuário novato ou não técnico, deve-se estar sempre aprendendo para o próprio crescimento. Espero que este artigo tenha ajudado você a aprender algo novo e útil.