Tutoriales

Cómo monitorear el acceso a archivos de Linux con Auditd

El monitoreo exitoso del acceso a archivos de Linux es un hito muy importante para los usuarios o administradores de Linux restringidos a configuraciones de red pública o compartida. El monitoreo de acceso a archivos de Linux nos ayuda a responder preguntas como quién accedió a este archivo en la última semana. ¿Puedo obtener una lista de los nombres de usuario de todos los usuarios que acceden al archivo x? ¿Puedo saber cuándo se está accediendo al archivo y?

La política de registro establecida en la distribución de su sistema operativo Linux debería proporcionarnos estadísticas oportunas sobre los usuarios del sistema y el período de tiempo durante el cual se accedió al archivo de consulta.

auditado o Demonio de auditoría Simule un sistema de auditoría de Linux que se centre solo en los componentes del espacio de usuario. Dentro del alcance del sistema operativo Linux, cualquier cosa marcada como un demonio significa que es un servicio/aplicación que se ejecuta en segundo plano. asi que, auditado Ejecute fácilmente como un servicio en segundo plano mientras recopila y escribe archivos de registro relacionados con auditorías.

Tabla de Contenidos

función de auditoría

Al instalar y usar auditado En su distribución de sistema operativo Linux, podrá satisfacer/implementar las siguientes funciones relacionadas con la auditoría:

  • Registros entrantes y salientes de información del sistema.
  • Registros de eventos de usuarios autenticados como SSH.
  • Registro de auditoría de cambios en el archivo de configuración.
  • Marcas de tiempo e incluso registros de información como tipos de eventos y resultados.
  • Registros de archivos confidenciales o cambios en la base de datos, como /etc/contraseña La contraseña para el archivo.
  • Registro de intentos de acceso al archivo de registro de auditoría.
  • Un registro del evento desencadenante y el usuario responsable del mismo.

Instalar Auditd (Sistema de auditoría de Linux)

Antes de ver los pasos de instalación, debemos tener auditoría Para poner en marcha su distribución del sistema operativo Linux, asegúrese de cumplir con los siguientes requisitos/prerrequisitos:

Consulte lo siguiente auditoría Comandos de instalación para la distribución del sistema operativo Linux que está utilizando:

Publicaciones relacionadas
$ sudo apt install audit            [On Debian, Ubuntu and Mint]
$ sudo yum install audit            [On RHEL/CentOS/Fedora and Rocky Linux/AlmaLinux]
$ sudo emerge -a sys-process/audit  [On Gentoo Linux]
$ sudo pacman -S audit              [On Arch Linux]
$ sudo zypper install audit         [On OpenSUSE]    

Uso de Auditd (sistema de auditoría de Linux)

Ahora estamos listos para configurar y administrar auditoría Se utiliza para rastrear información relacionada con la seguridad en nuestros sistemas Linux.

ruta de archivo /etc/audit/auditd.conf Apunta al archivo de configuración de auditoría principal.acceso Documentos de auditoría El archivo requiere permisos de usuario sudoer/root.

$ sudo nano /etc/audit/auditd.conf
Configuración de auditoría

Iniciar, habilitar y verificar el estado auditoríausaremos el comando de servicio en lugar del comando systemctl para garantizar la precisión de la ID de usuario (UID).

$ sudo service auditd start
$ sudo systemctl enable auditd
$ sudo systemctl status auditd
Comprobar el estado de la auditoría
Comprobar el estado de la auditoría

Definición de reglas de auditoría en Linux

necesitamos usar control de auditoria Una herramienta para agregar reglas de auditoría relacionadas con las llamadas al sistema. Por ejemplo, podemos definir una regla de observación para monitorear los tipos de acceso a archivos, como lectura, escritura, ejecución o incluso verificar cambios en los atributos.

Este reloj La sintaxis de la regla es la siguiente:

# auditctl -w path_to_target_file -p permissions -k key_name
Ejemplo 1: Auditoría de acciones de creación de usuarios

reloj (-w) Este /etc/contraseña archivos de cambios relacionados con la escritura (w) y propiedades (a) como un permiso de configuración (-p). Nombre clave (-k) Ayúdenos a identificar de forma única la regla de observación que creamos.

$ sudo auditctl -w /etc/passwd -p wa -k user-modify

Registros relacionados almacenados auditoría se puede encontrar en el archivo /var/log/auditoría/auditoría.log.

Vamos a crear un usuario de Linux para ver auditoría Los cambios serán registrados.

$ sudo useradd new_user

es hora de comprobar auditoría archivo de registro:

$ sudo cat /var/log/audit/audit.log | grep user-modify
Verifique los archivos de registro auditados
Verifique los archivos de registro auditados

El resultado anterior tiene información valiosa, como el tipo de comando ejecutado cuando el comando fue exitoso, la identificación del usuario (uid), la identificación del grupo (gid) y la identificación del proceso (pid) que se usaron cuando se creó new_user.

Ejemplo 2: auditoría de las acciones del usuario en el directorio X

Los siguientes comandos supervisan lectura, escritura, ejecución y propiedades (rwxa) permisos en archivos de escritorio.

$ sudo auditctl -w /home/dnyce/Desktop -p rwxa -k desktop-modified-files

Haga algo de lectura, escritura, ejecución y propiedades (rwxa) en su entorno de escritorio.

Acceder a archivos de escritorio
Acceder a archivos de escritorio

y comprobar si auditoría Actualizado su archivo de registro.

Comprobar el acceso a archivos auditados
Comprobar el acceso a archivos auditados

Reglas de auditoría persistentes en Linux

estos son relojes regla (No control de auditoria) persiste incluso después de reiniciar el sistema. Por ejemplo, para que la auditoría de las acciones de creación de usuarios sea persistente, abriríamos los siguientes archivos.

$ sudo nano /etc/audit/rules.d/audit.rules

y guarde la regla del reloj:

-w /etc/passwd -p wa -k user-modify
Agregar reglas de auditoría persistentes
Agregar reglas de auditoría persistentes

Finalmente, vuelva a cargar el demonio de auditoría.

$ sudo service auditd reload

Confirme la adición de la regla de auditoría enumerando:

$ sudo auditctl -l 
Verifique las reglas de auditoría persistentes
Verifique las reglas de auditoría persistentes

Buscar registros de auditoría en Linux

Podemos buscar los registros de auditoría apuntando a sus nombres clave:

$ ausearch -i -k desktop-modified-files
Buscar registros de auditoría
Buscar registros de auditoría

Crear informes de auditoría en Linux

Los informes generados pueden apuntar a ejecutables (-x) evento.

$ sudo aureport -x
Crear un informe de auditoría
Crear un informe de auditoría

Ahora entendemos que por auditado utilidad.

LEER  Cómo configurar un inicio de sesión de Linux sin contraseña con Putty en Windows

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba