Estrutura de auditoria do Linux: tudo sobre o comando Auditd

Há alguns dias, a partir de fevereiro, embarcamos em um postagem especial um ótimo coleção de comandos essenciais (básicos e intermediários) disponível na maioria dos sistemas operacionais gratuitos e abertos baseados em GNU/Linux. Consequentemente, alguns eram muito simples e com os quais pastas e arquivos podiam ser manipulados e informações exibidas neles. Enquanto outros eram mais complexos e com os quais configurações e parâmetros poderiam ser gerenciados.

Mas, esta coleção cobriu apenas um modesto 60 comandos linux. E como, em média, existem centenas de comandos disponíveis na maioria das Distribuições GNU/Linux, é hora, aos poucos, de abordar outros similares ou mais importantes, avançados ou especializados. Tais como o Comando Auditd do Linux o "Estrutura de auditoria do Linux", que abordaremos hoje neste post.

Mas, antes de começar este interessante post sobre o Comando Auditd do Linux o "Estrutura de auditoria do Linux", recomendamos a publicação anterior, para leitura posterior:

Artigo relacionado:

Comandos do Linux: os mais essenciais para dominar no ano de 2023

Linux Audit Framework: Poderoso ambiente de auditoria Linux

O que é o Comando Auditd (Linux Audit Framework)?

Resumidamente, poderíamos descrever dito comando de auditoria como, uma ferramenta de software (framework) auditoria para Linux, que fornece uma Sistema de auditoria compatível com CAPP (Perfil de Proteção de Acesso Controlado, em inglês, ou Perfil de Proteção de Acesso Controlado, em espanhol). Pelo que é capaz de coletar informações de forma confiável sobre qualquer evento relevante (ou não) para segurança em um sistema operacional Linux.

Consequentemente, é ideal para nos apoiar ao fazer monitoramento das ações realizadas em um SO. Desta forma, o comando Auditd ou o Estrutura de auditoria do Linux (Linux Audit Framework ou LAF) é capaz de nos ajudar a manter nosso sistema operacional mais seguro, graças a nos fornecer os meios necessários para analisar o que acontece nele com grande nível de detalhe.

No entanto, e como se deve entender, não fornece autoconfiança adicional, ou seja, não protege nosso sistema operacional contra mau funcionamento do código ou qualquer tipo de exploração por software malicioso ou ataques intrusivos. Senão que, É útil para rastrear problemas potenciais para análise e correção adicionais., desta forma, tomar medidas de segurança adicionais para mitigá-los e até mesmo evitá-los. Finalmente, o PALAVRA ele funciona ouvindo os eventos relatados pelo kernel e registrando-os em um arquivo de log para análise posterior e relatando ao usuário.

É uma ferramenta de espaço do usuário para auditoria de segurança. O pacote audit contém os utilitários userland para armazenar e pesquisar os logs de auditoria gerados pelo subsistema de auditoria do kernel Linux, a partir da versão 2.6 em diante. pacote auditd (no Debian)

Como você instala e usa o comando Auditd?

Como a maioria dos comandos, via Terminal (CLI), ele pode ser instalado de forma fácil e rotineira. usando o gerenciador de pacotes padrão ou preferencial da sua distribuição GNU/Linux.

Por exemplo, em Debian GNU / Linux e derivados seriam:

sudo apt install auditd

Enquanto isso em Fedora GNU/Linux e Red Hat, e seu similar seria:

sudo dnf install auditd

sudo yum install audit

E para seu uso básico e padrão, basta executar as seguintes ordens de comando:

• Verifique o status da execução

sudo systemctl status audit

• Ativar serviço em segundo plano

sudo systemctl enable auditd

• Ver as regras atualmente configuradas

sudo auditctl -l

• Criação de regras de exibição (watch) ou controle (syscall)

sudo auditctl -w /carpeta/archivo -p permisos-otorgados

sudo auditctl -a action,filter -S syscall -F field=value -k keyword

• Gerenciar todas as regras criadas

sudo vim /etc/audit/audit.rules

• Liste todos os eventos que têm a ver com um processo específico de acordo com seu PID, palavra-chave associada, caminho ou arquivo ou chamadas de sistema.
  

sudo ausearch -p PID

sudo ausearch -k keyword

sudo ausearch -f ruta

sudo ausearch -sc syscall

• Gerar relatórios de auditoria

sudo aureport -n

sudo aureport --summary

sudo aureport -f --summary

sudo aureport -l --summary

sudo aureport --failed

• Rastrear a execução de um processo

sudo autracet /ruta/comando

No entanto, para aprender mais sobre isso Recomendamos explorar os seguintes links:

• Páginas de manual do Debian: Auditd
• Website oficial
• Seção oficial no GitHub
• ArchLinux Wiki: Auditd
• Guia de Segurança do Red Hat Linux: Capítulo Auditoria do Sistema
• Guia de Segurança do SUSE: Capítulo A Estrutura de Auditoria do Linux
• Guia de Segurança e Proteção do OpenSUSE: Capítulo A Auditoria da Estrutura do Linux

Resumo

Em resumo, esperamos que esta publicação esteja relacionada com o poderoso ambiente de auditoria integrado em GNU/Linux conhecido como "Estrutura de auditoria do Linux", que é fornecido através do Comando Auditd do Linux, permitem muitos, o poder auditoria (examinar e avaliar) toda a atividade de seus sistemas operacionais gratuitos e abertos baseados em GNU/Linux. E assim, eles podem facilmente detectar e corrigir prontamente qualquer configuração ou atividade anômala, inapropriada ou prejudicial.

Por fim, não esqueça de contribuir com sua opinião sobre o tema de hoje, via comentários. E se você gostou deste post, não pare de compartilhar com os outros. Também, lembre-se visite nossa página inicial en «DesdeLinux» para explorar mais notícias e se juntar ao nosso canal oficial de Telegrama de DesdeLinux, Oeste grupo para mais informações sobre o tema de hoje.