Con la ayuda de auditd usted puede monitorear eventos en sus servidores Linux aún más fácilmente.

    El sistema de auditoría de Linux es una forma excepcional para que los administradores de sistemas creen una regla de registro para casi todas las acciones en el servidor de un centro de datos. El uso de este sistema significa que puede realizar un seguimiento de los eventos, registrarlos e incluso detectar el abuso o la actividad no autorizada a través de los archivos de registro. El demonio de auditoría (auditd) le permite elegir qué acciones en el servidor monitorizar (a diferencia de monitorizarlo todo) y no interfiere con las herramientas de registro estándar (como syslog.

    Lecturas imprescindibles del centro de datos

    La única advertencia a auditar es que en realidad no añade ninguna seguridad adicional a su sistema. En su lugar, proporciona los medios para que usted pueda hacer un seguimiento de cualquier violación que ocurra en un servidor para que pueda tomar medidas contra el abuso.

    Con esta herramienta, los administradores pueden controlar cualquier número de sistemas y servicios mediante la creación de reglas a través de la línea de comandos. Auditd funciona a nivel de kernel, por lo que tiene acceso a la auditoría de cualquier servicio que desee. El sistema auditd está disponible para la mayoría de las distribuciones de Linux, pero voy a demostrar su uso en Ubuntu Server 18.04.

    VER: Plan de recuperación en caso de desastre y continuidad de las operaciones (Tech Pro Research)

    Lo que necesitas

    Lo único que necesita es un servidor Linux (o escritorio, si lo prefiere) y una cuenta de usuario con privilegios sudo. Con los que están listos, veamos cómo funciona auditd.

    Instalación

    Es muy probable que Auditd ya esté instalado en su máquina. Por si acaso no lo es, puede instalarlo con el comando:

    sudo apt-get install auditd -y

    Una vez instalado, asegúrese de iniciar y habilitar el sistema con los comandos:

    sudo systemctl start auditdsudo systemctl enable auditd

    Configuración de auditd

    La configuración de auditd se maneja en un solo archivo (mientras que las reglas se manejan en un archivo completamente separado. Aunque el valor predeterminado debería ser suficiente para la mayoría de las necesidades, puede configurar el sistema emitiendo el comando:

    sudo nano /etc/audit/audit/audit.conf

    En ese archivo puede que desee configurar las siguientes entradas:

    • La ubicación del archivo de registro se configura en la línea log_file = /var/log/audit/audit/audit.log.
    • El número de registros que se conservan en el servidor se configura en la entrada num_logs = 5.
    • Configure el tamaño máximo del archivo de registro (en MB) en la línea max_log_file = 8.

    Si realiza algún cambio en esa configuración, deberá reiniciar auditd con el comando:

    sudo systemctl reinicio auditd

    Creación de una regla

    Lo primero que hay que hacer es asegurarse de que está empezando con una pizarra limpia. Emita el comando:

    sudo auditctl -l

    El comando anterior debería mostrar que no hay reglas (.

    Vamos a crear una regla que monitorice tanto /etc/passwd como /etc/shadow para detectar cualquier cambio. Lo que queremos es crear reglas que monitoreen una ruta específica y estén atentos a los cambios en el atributo de permiso de escritura de ese archivo. En otras palabras, si un usuario malicioso cambia los permisos de escritura en los archivos passwd y shadow, se registrará. Para ello, emitiremos el comando:

    sudo nano /etc/audit/rules.d/audit.rules

    En la parte inferior de ese archivo, agregue las siguientes dos líneas:

    -w /etc/shadow -p wa -k shadow-w /etc/passwd -p wa -k passwd

    El desglose de las líneas anteriores es el siguiente:

    • -…es el camino a seguir.
    • -p son los permisos para monitorizar.
    • -…k es el nombre clave de la regla.

    En cuanto a los permisos, es algo similar al estándar Linux, con una adición:

    • r – leer
    • w – escribir
    • x – ejecutar
    • a – cambio en el atributo del archivo (ya sea propiedad o permisos)

    En nuestro ejemplo, queremos ver los permisos de escritura (w) de los archivos para cualquier cambio en el atributo (a), por lo que nuestro permiso sería wa.

    Una vez que hayamos agregado las dos nuevas reglas, guarde y cierre el archivo y luego reinicie auditd con el comando:

    sudo systemctl reinicio auditd

    Ahora debería poder ver las nuevas reglas listadas ), emitiendo el comando:

    sudo auditctl -l

    Visualización del archivo de registro auditado

    Puede ver cada entrada en el archivo de registro auditado emitiendo el comando:

    menos /var/log/audit/audit/audit.log

    Encontrará rápidamente el archivo que está repleto de entradas. Tiene que haber una manera más fácil. Afortunadamente, la hay. Debido a que hemos incluido nombres clave en nuestras reglas, podemos utilizar una herramienta de búsqueda auditada incorporada para ver sólo las entradas que incluyen los nombres clave de contraseña o de sombra. Para ver cualquier entrada que contenga el nombre de clave de contraseña, emita el comando:

    ausearch -k passwd

    Debería ver cualquier entrada en la lista que contenga el nombre de clave especificado .

    Digamos que agrega un nuevo usuario (con el comando sudo adduser. Como se le pedirá que cree una entrada de contraseña para ese usuario (que se escribe en /etc/passwd), aparecerá en nuestro comando de búsqueda ausearch -k passwd .

    La herramienta de ausearch es increíblemente poderosa. Para saber más sobre su uso, asegúrese de leer la página man con el comando man ausearch.

    Y eso es lo esencial de usar auditd en los servidores Linux de su centro de datos. Ahora tiene los medios para controlar casi cualquier sistema o servicio que necesite vigilar.

    Boletín de noticias de Data Center Trends

    DevOps, virtualización, la nube híbrida, el almacenamiento y la eficiencia operativa son sólo algunos de los temas del centro de datos que destacaremos. Entregado Lunes y Miércoles