Cómo habilitar el sistema de auditoría en CentOS 7 para una mayor seguridad
Si utilizas CentOS 7 en tu centro de datos, seguramente asumes que es una plataforma perfectamente segura. En su mayor parte, esa suposición es correcta. Sin embargo, existen cosas que puedes hacer para hacer que la plataforma sea aún más segura. Una de esas tareas es habilitar el sistema Auditd.
¿Qué es el sistema Auditd?
Auditd es parte del Sistema de Auditoría de Linux y es responsable de escribir registros de auditoría en el disco. Con Auditd, puedes configurar reglas de auditoría, ver registros y personalizarlo según tus requisitos específicos. Con la ayuda de Auditd, puedes obtener información valiosa sobre el rendimiento y la actividad de tu servidor. De forma predeterminada, deberías tener Auditd instalado en tu servidor CentOS 7. En caso de que no lo tengas, lo instalaremos.
Veamos cómo hacerlo.
Instalación de Auditd
El sistema Audit viene en forma de dos paquetes: Audit y audit-libs. Verifiquemos si están instalados con el siguiente comando:
sudo yum list audit audit-libs
Si ves esos paquetes en la lista (Figura A), todo está listo.
Cómo acceder y navegar de forma segura en la Dark WebSi no ves los paquetes en la lista, instálalos con el siguiente comando:
sudo yum install audit audit-libs
Luego, debemos iniciar y habilitar Auditd con los siguientes comandos:
sudo systemctl start auditd
sudo systemctl enable auditd
En este punto, Auditd está en funcionamiento y escribiendo registros en /var/log/audit/audit.log. Puedes ejecutar el siguiente comando:
tail -f /var/log/audit/audit.log
El comando anterior seguirá todo lo que se escriba en el registro de Auditd, para que puedas verlo en tiempo real.
Configuración de Auditd
Para configurar Auditd, primero debemos cambiar al usuario root con el comando su. Una vez hecho esto, ejecuta el siguiente comando:
nano /etc/audit/auditd.conf
En este archivo (Figura B), puedes configurar el demonio de Auditd.
Lo que debes tener en cuenta es las reglas de Auditd. Para hacerlo, ejecuta el siguiente comando:
nano /etc/audit/audit.rules
Supongamos que quieres configurar Auditd para vigilar un directorio en particular... como por ejemplo, /etc/hosts. En el archivo audit.rules, agrega lo siguiente:
-w /etc/hosts -p wa -k hosts_file_change
Donde:
- -w es la ubicación a vigilar.
- -p son los permisos (de acuerdo a los permisos estándar de UNIX).
- -k es el nombre de la clave (una cadena opcional para ayudar a identificar qué regla o conjunto de reglas ha generado una entrada de registro particular).
Guarda y cierra ese archivo. Después de agregar la regla, ejecuta el comando tail (que mencionamos antes) y edita el archivo /etc/hosts. Deberías ver una entrada etiquetada con la clave configurada en la entrada de las reglas (Figura C).
Y eso es todo lo que tienes que hacer para habilitar Auditd y agregar una nueva regla al sistema. Esta es una excelente manera de realizar un seguimiento de lo que ocurre en tu servidor CentOS 7.
Por qué nunca debes permitir que tu navegador web guarde tus contraseñasEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo habilitar el sistema de auditoría en CentOS 7 para una mayor seguridad , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados