Cómo utilizar el sistema de auditoría de Linux para monitorear y registrar eventos en servidores

El Sistema de Auditoría de Linux es una excelente herramienta para los administradores de sistemas, ya que les permite crear reglas de registro para casi todas las acciones en un servidor de un centro de datos. Utilizando este sistema, puedes rastrear eventos, registrarlos e incluso detectar abuso o actividades no autorizadas a través de los archivos de registro. El daemon de auditoría (auditd) te permite elegir qué acciones del servidor supervisar (en lugar de monitorear todo) y no interfiere con las herramientas de registro estándar (como syslog).

La única advertencia sobre auditd es que en realidad no agrega ninguna seguridad adicional a tu sistema. En cambio, proporciona los medios para hacer un seguimiento de cualquier violación que ocurra en un servidor para que luego puedas tomar medidas contra el abuso.

Con esta herramienta, los administradores pueden controlar cualquier número de sistemas y servicios creando reglas a través de la línea de comandos. Auditd opera a nivel del kernel, por lo que tienes acceso para auditar cualquier servicio que desees. El sistema de auditd está disponible para la mayoría de las distribuciones de Linux, pero aquí demostraré su uso en Ubuntu Server 18.04.

Índice de Contenido
  1. Lo que necesitas
  2. Instalación
  3. Configuración de auditd
  4. Creando una regla
  5. Visualización del archivo de registro de auditd

Lo que necesitas

Lo único que necesitas es un servidor Linux (o una computadora de escritorio, si lo prefieres) y una cuenta de usuario con privilegios de sudo. Con eso listo, veamos cómo funciona auditd.

Instalación

Es muy probable que auditd ya esté instalado en tu máquina. En caso contrario, puedes instalarlo con el siguiente comando:

sudo apt-get install auditd -y

Los diferentes tipos de buses en los dispositivos electrónicos

Una vez instalado, asegúrate de iniciar y habilitar el sistema con los comandos:

sudo systemctl start auditd
sudo systemctl enable auditd

Configuración de auditd

La configuración de auditd se maneja en un solo archivo (mientras que las reglas se manejan en un archivo completamente separado). Aunque la configuración predeterminada debería ser suficiente para la mayoría de las necesidades, puedes configurar el sistema emitiendo el comando:

sudo nano /etc/audit/audit.conf

En ese archivo, es posible que desees configurar las siguientes entradas:

  • La ubicación del archivo de registro se configura en la línea log_file = /var/log/audit/audit.log.
  • El número de registros que se conservarán en el servidor se configura en la entrada num_logs = 5.
  • Configura el tamaño máximo del archivo de registro (en MB) en la línea max_log_file = 8.

Si realizas algún cambio en esa configuración, deberás reiniciar auditd con el comando:

Cómo entrar al programa de configuración del BIOS en tu computadora

sudo systemctl restart auditd

Creando una regla

Lo primero que debes hacer es asegurarte de que estás empezando desde cero. Ejecuta el comando:

sudo auditctl -l

El comando anterior debería mostrar que no hay reglas (Figura A).

Vamos a crear una regla que monitoreará cambios tanto en /etc/passwd como en /etc/shadow. Lo que queremos es crear reglas que monitoreen una ruta específica y busquen cambios en el atributo de permiso de escritura de ese archivo. En otras palabras, si un usuario malintencionado cambia los permisos de escritura en los archivos passwd y shadow, se registrará. Para hacer esto, emitiremos el siguiente comando:

sudo nano /etc/audit/rules.d/audit.rules

Entendiendo los permisos de archivos y directorios en UNIX

Al final de ese archivo, agrega las siguientes dos líneas:

-w /etc/shadow -p wa -k shadow
-w /etc/passwd -p wa -k passwd

El desglose de las líneas anteriores se ve así:

  • -w es la ruta a monitorear.
  • -p son los permisos a monitorear.
  • -k es el nombre clave para la regla.

En cuanto a los permisos, es algo similar a Linux estándar, con una adición:

  • r - lectura
  • w - escritura
  • x - ejecución
  • a - cambio en el atributo del archivo (ya sea propiedad o permisos)

En nuestro ejemplo, queremos vigilar los permisos de escritura (w) de los archivos en busca de cualquier cambio en el atributo (a), por lo que nuestros permisos serían wa.

Una vez que hayamos agregado las dos nuevas reglas, guarda y cierra el archivo y luego reinicia auditd con el comando:

Cómo recuperar una contraseña de BIOS perdida: dos métodos efectivos

sudo systemctl restart auditd

Ahora deberías poder ver las nuevas reglas listadas (Figura B), emitiendo el comando:

sudo auditctl -l

Visualización del archivo de registro de auditd

Puedes ver cada entrada en el archivo de registro de auditd emitiendo el comando:

less /var/log/audit/audit.log

Rápidamente encontrarás que el archivo está repleto de entradas. Tiene que haber una manera más fácil. Afortunadamente, la hay. Debido a que hemos incluido nombres clave en nuestras reglas, podemos usar una herramienta de búsqueda integrada de auditd para ver solo las entradas que incluyan los nombres clave passwd o shadow. Para ver cualquier entrada que contenga el nombre clave passwd, emite el comando:

Cómo funciona y cómo probar una fuente de alimentación para PC

ausearch -k passwd

Deberías ver cualquier entrada que contenga el nombre clave especificado (Figura C).

Supongamos que agregas un nuevo usuario (con el comando sudo adduser). Como se te pedirá que crees una entrada de contraseña para ese usuario (que se escribe en /etc/passwd), aparecerá en nuestra búsqueda con el comando ausearch -k passwd (Figura D).

La herramienta ausearch es increíblemente poderosa. Para obtener más información sobre su uso, asegúrate de leer la página del manual con el comando man ausearch.

Y eso es todo lo básico para usar auditd en tus servidores Linux del centro de datos. Ahora tienes los medios para controlar casi cualquier sistema o servicio que necesites vigilar.

Cómo diagnosticar y reemplazar una fuente de alimentación defectuosa en tu PC

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Centros de Datos, allí encontraras muchos artículos similares a Cómo utilizar el sistema de auditoría de Linux para monitorear y registrar eventos en servidores , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.