auditd es el componente de espacio de usuario del sistema de auditoría de Linux. Es responsable de escribir registros de auditoría en el disco. La visualización de los registros se realiza con las utilidades ausearch o aureport. La configuración de las reglas de auditoría se realiza con la utilidad auditctl. Durante el inicio, auditctl lee las reglas en /etc/audit/rules.d/audit.rules (para CentOS/RHEL 7). El propio demonio de auditoría tiene algunas opciones de configuración que el administrador puede desear personalizar. Se encuentran en el archivo auditd.conf.
La publicación proporciona una regla de auditoría de muestra para capturar las credenciales de usuario y el comando utilizado para reiniciar/apagar los servidores Linux y esta regla se puede modificar según sea necesario.
El archivo de configuración principal para agregar la regla de auditoría es "/etc/audit/audit.rules" y el mismo debe actualizarse con las reglas requeridas.
Nota :En CentOS/RHEL 7, el archivo de configuración es /etc/audit/rules.d/audit.rules en lugar de /etc/audit/audit.rules.
Configuración de auditoría
A continuación se muestra un ejemplo basado en CentOS/RHEL 6, pero los pasos siguen siendo los mismos para CentOS/RHEL 7 también.
1. Realice la copia de seguridad de la configuración existente.
# cp /etc/audit/audit.rules /etc/audit/audit.rules.bkp
2. Edite el archivo /etc/audit/audit.rules y agregue las siguientes reglas para que sea persistente.
# vi /etc/audit/audit.rules -a exit,always -F arch=b64 -S execve -F path=/sbin/reboot -k reboot [ -k Filter key ] -a exit,always -F arch=b64 -S execve -F path=/sbin/init -k reboot -a exit,always -F arch=b64 -S execve -F path=/sbin/poweroff -k reboot -a exit,always -F arch=b64 -S execve -F path=/sbin/shutdow -k reboot
3. Reinicie el servicio auditd para que los cambios surtan efecto.
# service auditd restart
4. Enumere las reglas agregadas,
# auditctl -l LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/reboot key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/init key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/poweroff key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/shutdow key=reboot syscall=execve
Verificar
Para filtrar los eventos de reinicio del registro de auditoría, se debe especificar la clave de filtro.
# ausearch -k reboot time->Mon Jan 4 11:48:20 2016 type=PATH msg=audit(1451926100.004:17): item=1 name=(null) inode=1368522 dev=fc:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 type=PATH msg=audit(1451926100.004:17): item=0 name="/sbin/init" inode=1792404 dev=fc:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 type=CWD msg=audit(1451926100.004:17): cwd="/root" type=EXECVE msg=audit(1451926100.004:17): argc=2 a0="init" a1="6" type=SYSCALL msg=audit(1451926100.004:17): arch=c000003e syscall=59 success=yes exit=0 a0=12706f0 a1=1271190 a2=1268ec0 a3=8 items=2 ppid=2830 pid=2879 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=1 comm="init" exe="/sbin/init" key="reboot
Toma,
uido – Representa la identificación del usuario.
gid – Representar la identificación del grupo
exe=”/sbin/init” – comando ejecutado