1. ¿Qué es Auditd?

Auditd (Audit Daemon) es una herramienta de auditoría de seguridad que registra eventos del sistema para que puedas monitorizar y analizar la actividad de tu sistema. Esto es útil para identificar accesos no autorizados, cambios en la configuración y otros eventos críticos en tu servidor o máquina local.

2. Instalación de Auditd en Linux

Para instalar Auditd en Linux, abre una terminal y ejecuta los siguientes comandos:

sudo apt update
sudo apt install auditd

Una vez instalado, puedes verificar el estado del servicio auditd con:

sudo systemctl status auditd

3. Configuración básica de Auditd

Auditd utiliza un archivo de configuración principal llamado /etc/audit/auditd.conf, donde puedes personalizar aspectos como el tamaño máximo de los archivos de registro, la política de almacenamiento y la retención de los logs.

Para editar el archivo de configuración:

sudo nano /etc/audit/auditd.conf

Algunos parámetros importantes que puedes ajustar son:

  • max_log_file: Define el tamaño máximo de cada archivo de log en megabytes.
  • log_file: Establece la ubicación del archivo de log (por defecto es /var/log/audit/audit.log).
  • space_left_action: Especifica lo que debe hacer Auditd cuando el espacio de disco sea bajo.

4. Creación de Reglas de Auditoría

Auditd utiliza reglas para definir qué eventos deben ser registrados. Estas reglas se pueden agregar de manera temporal usando el comando auditctl o permanentemente mediante la edición del archivo /etc/audit/rules.d/audit.rules.

Ejemplo de una regla para auditar el acceso al archivo /etc/passwd:

auditctl -w /etc/passwd -p wa -k passwd_changes

En este caso:

  • -w indica el archivo que se debe auditar.
  • -p especifica los permisos (en este caso, w para escritura y a para atribución).
  • -k asigna una clave para identificar esta regla.

Artículos relacionadosMás del autor

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí