El monitoreo exitoso del acceso a archivos de Linux es un hito muy importante para los usuarios o administradores de Linux restringidos a configuraciones de red pública o compartida. El monitoreo de acceso a archivos de Linux nos ayuda a responder preguntas como quién accedió a este archivo en la última semana. ¿Puedo obtener una lista de los nombres de usuario de todos los usuarios que acceden al archivo x? ¿Puedo saber cuándo se está accediendo al archivo y?
La política de registro establecida en la distribución de su sistema operativo Linux debería proporcionarnos estadísticas oportunas sobre los usuarios del sistema y el período de tiempo durante el cual se accedió al archivo de consulta.
auditado o Demonio de auditoría Simule un sistema de auditoría de Linux que se centre solo en los componentes del espacio de usuario. Dentro del alcance del sistema operativo Linux, cualquier cosa marcada como un demonio significa que es un servicio/aplicación que se ejecuta en segundo plano. asi que, auditado Ejecute fácilmente como un servicio en segundo plano mientras recopila y escribe archivos de registro relacionados con auditorías.
función de auditoría
Al instalar y usar auditado En su distribución de sistema operativo Linux, podrá satisfacer/implementar las siguientes funciones relacionadas con la auditoría:
- Registros entrantes y salientes de información del sistema.
- Registros de eventos de usuarios autenticados como SSH.
- Registro de auditoría de cambios en el archivo de configuración.
- Marcas de tiempo e incluso registros de información como tipos de eventos y resultados.
- Registros de archivos confidenciales o cambios en la base de datos, como /etc/contraseña La contraseña para el archivo.
- Registro de intentos de acceso al archivo de registro de auditoría.
- Un registro del evento desencadenante y el usuario responsable del mismo.
Instalar Auditd (Sistema de auditoría de Linux)
Antes de ver los pasos de instalación, debemos tener auditoría Para poner en marcha su distribución del sistema operativo Linux, asegúrese de cumplir con los siguientes requisitos/prerrequisitos:
Consulte lo siguiente auditoría Comandos de instalación para la distribución del sistema operativo Linux que está utilizando:
$ sudo apt install audit [On Debian, Ubuntu and Mint] $ sudo yum install audit [On RHEL/CentOS/Fedora and Rocky Linux/AlmaLinux] $ sudo emerge -a sys-process/audit [On Gentoo Linux] $ sudo pacman -S audit [On Arch Linux] $ sudo zypper install audit [On OpenSUSE]
Uso de Auditd (sistema de auditoría de Linux)
Ahora estamos listos para configurar y administrar auditoría Se utiliza para rastrear información relacionada con la seguridad en nuestros sistemas Linux.
ruta de archivo /etc/audit/auditd.conf Apunta al archivo de configuración de auditoría principal.acceso Documentos de auditoría El archivo requiere permisos de usuario sudoer/root.
$ sudo nano /etc/audit/auditd.conf
Iniciar, habilitar y verificar el estado auditoríausaremos el comando de servicio en lugar del comando systemctl para garantizar la precisión de la ID de usuario (UID).
$ sudo service auditd start $ sudo systemctl enable auditd $ sudo systemctl status auditd
Definición de reglas de auditoría en Linux
necesitamos usar control de auditoria Una herramienta para agregar reglas de auditoría relacionadas con las llamadas al sistema. Por ejemplo, podemos definir una regla de observación para monitorear los tipos de acceso a archivos, como lectura, escritura, ejecución o incluso verificar cambios en los atributos.
Este reloj La sintaxis de la regla es la siguiente:
# auditctl -w path_to_target_file -p permissions -k key_name
Ejemplo 1: Auditoría de acciones de creación de usuarios
reloj (-w) Este /etc/contraseña archivos de cambios relacionados con la escritura (w) y propiedades (a) como un permiso de configuración (-p). Nombre clave (-k) Ayúdenos a identificar de forma única la regla de observación que creamos.
$ sudo auditctl -w /etc/passwd -p wa -k user-modify
Registros relacionados almacenados auditoría se puede encontrar en el archivo /var/log/auditoría/auditoría.log.
Vamos a crear un usuario de Linux para ver auditoría Los cambios serán registrados.
$ sudo useradd new_user
es hora de comprobar auditoría archivo de registro:
$ sudo cat /var/log/audit/audit.log | grep user-modify
El resultado anterior tiene información valiosa, como el tipo de comando ejecutado cuando el comando fue exitoso, la identificación del usuario (uid), la identificación del grupo (gid) y la identificación del proceso (pid) que se usaron cuando se creó new_user.
Ejemplo 2: auditoría de las acciones del usuario en el directorio X
Los siguientes comandos supervisan lectura, escritura, ejecución y propiedades (rwxa) permisos en archivos de escritorio.
$ sudo auditctl -w /home/dnyce/Desktop -p rwxa -k desktop-modified-files
Haga algo de lectura, escritura, ejecución y propiedades (rwxa) en su entorno de escritorio.
y comprobar si auditoría Actualizado su archivo de registro.
Reglas de auditoría persistentes en Linux
estos son relojes regla (No control de auditoria) persiste incluso después de reiniciar el sistema. Por ejemplo, para que la auditoría de las acciones de creación de usuarios sea persistente, abriríamos los siguientes archivos.
$ sudo nano /etc/audit/rules.d/audit.rules
y guarde la regla del reloj:
-w /etc/passwd -p wa -k user-modify
Finalmente, vuelva a cargar el demonio de auditoría.
$ sudo service auditd reload
Confirme la adición de la regla de auditoría enumerando:
$ sudo auditctl -l
Buscar registros de auditoría en Linux
Podemos buscar los registros de auditoría apuntando a sus nombres clave:
$ ausearch -i -k desktop-modified-files
Crear informes de auditoría en Linux
Los informes generados pueden apuntar a ejecutables (-x) evento.
$ sudo aureport -x
Ahora entendemos que por auditado utilidad.
