AUDIT: Auditoria de arquivos no Linux para conhecer quem fez alterações em arquivos

Como fazer auditoria de eventos tais quais leitura/escrita etc? Como eu posso usar o audit para ver quem alterou um arquivo no Linux? Eis a solução.

[ Hits: 80.596 ]

Por: Eric Miranda em 09/01/2009 | Blog: http://slackade.blogspot.com/


Introdução



A resposta é: utilizar sistema de auditoria do kernel 2.6. O kernel 2.6.x vem com do daemon auditd, o qual é responsável por gravar os registros de auditoria em disco. Durante a inicialização as regras configuradas em /etc/audit/audit.rules são lidas por este processo.

Você pode abrir o arquivo de configuração para efetuar alterações tais quais configurar o caminho para o arquivo de log e outras opções. O arquivo padrão é suficiente para iniciar o uso e estudo do auditd.

Para utilizar as facilidades do auditd você precisa utilizar os seguintes utilitários:

auditctl

Utilitário de controle do sistema de auditoria do kernel. Você pode consultar o status, deletar ou adicionar regras para o sistema de auditoria do kernel. Configurar o sistema para monitorar um arquivo é efetuado usando o comando:

# auditctl -w /caminho/para/o/arquivo

ausearch

Comando para consultar o daemon do audit baseado em eventos com vários critérios de pesquisa.

aureport

Ferramenta que produz relatórios resumidos dos logs do sistema audit.

Note que todos os comandos foram testados por mim em RHEL 5.2 e pelo autor do artigo original, também CentOS 4.x, Fedora Core e RHEL 4.

Esta é uma tradução livre do original:
    Próxima página

Páginas do artigo
   1. Introdução
   2. Tarefa: instalar o pacote audit
   3. Como configurar a monitoração de um arquivo para auditoria?
   4. Como eu descubro quem alterou ou acessou o arquivo /etc/passwd?
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 2)

Esteganografia utilizando steghide

Snort avançado: Projetando um perímetro seguro

Projeto Sharingan

Como assinar digitalmente um documento criado no Br/OpenOffice

  
Comentários
[1] Comentário enviado por evilrick em 09/01/2009 - 15:51h

Muito bom.
Esse é o tipo de serviço necessário para qualquer administrador de sistemas de qualquer tipo de organização.
O problema (se é que dá para chamar assim :P ) parece ser apenas o volume de informações gerado.

[2] Comentário enviado por ericitaquera em 10/01/2009 - 00:27h

Este é o primeiro artigo que eu publico nesse site. Pensei que daria para editar / acrescentar mais coisas.

A configuração padrão realmente gera muito dado. Mas é facilmente customizável.

Por exemplo, se vc quiser excluir os eventos gerados pelo cron.

# auditctl -a exit,never -x crond
# auditctl -a entry,never -x crond

flw!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts