Con la ayuda de auditd usted puede monitorear eventos en sus servidores Linux aún más fácilmente.
El sistema de auditoría de Linux es una forma excepcional para que los administradores de sistemas creen una regla de registro para casi todas las acciones en el servidor de un centro de datos. El uso de este sistema significa que puede realizar un seguimiento de los eventos, registrarlos e incluso detectar el abuso o la actividad no autorizada a través de los archivos de registro. El demonio de auditoría (auditd) le permite elegir qué acciones en el servidor monitorizar (a diferencia de monitorizarlo todo) y no interfiere con las herramientas de registro estándar (como syslog.
Lecturas imprescindibles del centro de datos
La única advertencia a auditar es que en realidad no añade ninguna seguridad adicional a su sistema. En su lugar, proporciona los medios para que usted pueda hacer un seguimiento de cualquier violación que ocurra en un servidor para que pueda tomar medidas contra el abuso.
Con esta herramienta, los administradores pueden controlar cualquier número de sistemas y servicios mediante la creación de reglas a través de la línea de comandos. Auditd funciona a nivel de kernel, por lo que tiene acceso a la auditoría de cualquier servicio que desee. El sistema auditd está disponible para la mayoría de las distribuciones de Linux, pero voy a demostrar su uso en Ubuntu Server 18.04.
VER: Plan de recuperación en caso de desastre y continuidad de las operaciones (Tech Pro Research)
Lo que necesitas
Lo único que necesita es un servidor Linux (o escritorio, si lo prefiere) y una cuenta de usuario con privilegios sudo. Con los que están listos, veamos cómo funciona auditd.
Instalación
Es muy probable que Auditd ya esté instalado en su máquina. Por si acaso no lo es, puede instalarlo con el comando:
sudo apt-get install auditd -y
Una vez instalado, asegúrese de iniciar y habilitar el sistema con los comandos:
sudo systemctl start auditdsudo systemctl enable auditd
Configuración de auditd
La configuración de auditd se maneja en un solo archivo (mientras que las reglas se manejan en un archivo completamente separado. Aunque el valor predeterminado debería ser suficiente para la mayoría de las necesidades, puede configurar el sistema emitiendo el comando:
sudo nano /etc/audit/audit/audit.conf
En ese archivo puede que desee configurar las siguientes entradas:
- La ubicación del archivo de registro se configura en la línea log_file = /var/log/audit/audit/audit.log.
- El número de registros que se conservan en el servidor se configura en la entrada num_logs = 5.
- Configure el tamaño máximo del archivo de registro (en MB) en la línea max_log_file = 8.
Si realiza algún cambio en esa configuración, deberá reiniciar auditd con el comando:
sudo systemctl reinicio auditd
Creación de una regla
Lo primero que hay que hacer es asegurarse de que está empezando con una pizarra limpia. Emita el comando:
sudo auditctl -l
El comando anterior debería mostrar que no hay reglas (.
Vamos a crear una regla que monitorice tanto /etc/passwd como /etc/shadow para detectar cualquier cambio. Lo que queremos es crear reglas que monitoreen una ruta específica y estén atentos a los cambios en el atributo de permiso de escritura de ese archivo. En otras palabras, si un usuario malicioso cambia los permisos de escritura en los archivos passwd y shadow, se registrará. Para ello, emitiremos el comando:
sudo nano /etc/audit/rules.d/audit.rules
En la parte inferior de ese archivo, agregue las siguientes dos líneas:
-w /etc/shadow -p wa -k shadow-w /etc/passwd -p wa -k passwd
El desglose de las líneas anteriores es el siguiente:
- -…es el camino a seguir.
- -p son los permisos para monitorizar.
- -…k es el nombre clave de la regla.
En cuanto a los permisos, es algo similar al estándar Linux, con una adición:
- r – leer
- w – escribir
- x – ejecutar
- a – cambio en el atributo del archivo (ya sea propiedad o permisos)
En nuestro ejemplo, queremos ver los permisos de escritura (w) de los archivos para cualquier cambio en el atributo (a), por lo que nuestro permiso sería wa.
Una vez que hayamos agregado las dos nuevas reglas, guarde y cierre el archivo y luego reinicie auditd con el comando:
sudo systemctl reinicio auditd
Ahora debería poder ver las nuevas reglas listadas ), emitiendo el comando:
sudo auditctl -l
Visualización del archivo de registro auditado
Puede ver cada entrada en el archivo de registro auditado emitiendo el comando:
menos /var/log/audit/audit/audit.log
Encontrará rápidamente el archivo que está repleto de entradas. Tiene que haber una manera más fácil. Afortunadamente, la hay. Debido a que hemos incluido nombres clave en nuestras reglas, podemos utilizar una herramienta de búsqueda auditada incorporada para ver sólo las entradas que incluyen los nombres clave de contraseña o de sombra. Para ver cualquier entrada que contenga el nombre de clave de contraseña, emita el comando:
ausearch -k passwd
Debería ver cualquier entrada en la lista que contenga el nombre de clave especificado .
Digamos que agrega un nuevo usuario (con el comando sudo adduser. Como se le pedirá que cree una entrada de contraseña para ese usuario (que se escribe en /etc/passwd), aparecerá en nuestro comando de búsqueda ausearch -k passwd .
La herramienta de ausearch es increíblemente poderosa. Para saber más sobre su uso, asegúrese de leer la página man con el comando man ausearch.
Y eso es lo esencial de usar auditd en los servidores Linux de su centro de datos. Ahora tiene los medios para controlar casi cualquier sistema o servicio que necesite vigilar.
Boletín de noticias de Data Center Trends
DevOps, virtualización, la nube híbrida, el almacenamiento y la eficiencia operativa son sólo algunos de los temas del centro de datos que destacaremos. Entregado Lunes y Miércoles