Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 37. Auditoría del sistema

La auditoría no proporciona seguridad adicional a su sistema; más bien, puede utilizarse para descubrir violaciones de las políticas de seguridad utilizadas en su sistema. Estas violaciones pueden evitarse además con medidas de seguridad adicionales como SELinux.

37.1. Auditoría Linux

El sistema de Auditoría de Linux proporciona una manera de rastrear la información relevante para la seguridad en su sistema. Basado en reglas preconfiguradas, Audit genera entradas de registro para registrar tanta información como sea posible sobre los eventos que están ocurriendo en su sistema. Esta información es crucial para que los entornos de misión crítica puedan determinar quién ha violado la política de seguridad y las acciones que ha realizado.

La siguiente lista resume parte de la información que Audit es capaz de registrar en sus archivos de registro:

  • Fecha y hora, tipo y resultado de un evento.
  • Etiquetas de sensibilidad de sujetos y objetos.
  • Asociación de un evento con la identidad del usuario que lo ha provocado.
  • Todas las modificaciones de la configuración de Auditoría y los intentos de acceso a los archivos de registro de Auditoría.
  • Todos los usos de los mecanismos de autenticación, como SSH, Kerberos y otros.
  • Cambios en cualquier base de datos de confianza, como /etc/passwd.
  • Intentos de importar o exportar información hacia o desde el sistema.
  • Incluya o excluya eventos en función de la identidad del usuario, las etiquetas de sujetos y objetos, y otros atributos.

El uso del sistema Audit también es un requisito para una serie de certificaciones relacionadas con la seguridad. Audit está diseñado para cumplir o superar los requisitos de las siguientes certificaciones o guías de cumplimiento:

  • Perfil de protección de acceso controlado (CAPP)
  • Perfil de protección de seguridad etiquetado (LSPP)
  • Control de acceso basado en conjuntos de reglas (RSBAC)
  • Manual operativo del Programa Nacional de Seguridad Industrial (NISPOM)
  • Ley Federal de Gestión de la Seguridad de la Información (FISMA)
  • Industria de las tarjetas de pago
  • Guías técnicas de aplicación de la seguridad (STIG)

La auditoría también lo ha sido:

  • Evaluado por National Information Assurance Partnership (NIAP) y Best Security Industries (BSI).
  • Certificado para LSPP/CAPP/RSBAC/EAL4 en Red Hat Enterprise Linux 5.
  • Certificado para el Perfil de Protección del Sistema Operativo / Nivel de Garantía de Evaluación 4 (OSPP/EAL4 ) en Red Hat Enterprise Linux 6.

Casos de uso

Vigilancia del acceso a los archivos
La auditoría puede rastrear si se ha accedido a un archivo o a un directorio, si se ha modificado, si se ha ejecutado o si se han cambiado los atributos del archivo. Esto es útil, por ejemplo, para detectar el acceso a archivos importantes y tener un rastro de Auditoría disponible en caso de que uno de estos archivos se corrompa.
Supervisión de las llamadas del sistema
La auditoría puede configurarse para generar una entrada de registro cada vez que se utiliza una llamada del sistema en particular. Esto puede utilizarse, por ejemplo, para rastrear los cambios en la hora del sistema mediante la supervisión de las llamadas al sistema settimeofday, clock_adjtime, y otras relacionadas con la hora.
Grabación de los comandos ejecutados por un usuario
La auditoría puede rastrear si un archivo ha sido ejecutado, por lo que se pueden definir reglas para registrar cada ejecución de un comando en particular. Por ejemplo, se puede definir una regla para cada ejecutable en el directorio /bin. Las entradas de registro resultantes pueden buscarse por ID de usuario para generar un registro de auditoría de los comandos ejecutados por usuario.
Grabación de la ejecución de los nombres de ruta del sistema
Además de vigilar el acceso a los archivos que traduce una ruta a un inodo en la invocación de la regla, Auditoría puede ahora vigilar la ejecución de una ruta incluso si no existe en el momento de la invocación de la regla, o si el archivo es reemplazado después de la invocación de la regla. Esto permite que las reglas sigan funcionando después de actualizar el ejecutable de un programa o incluso antes de instalarlo.
Registro de eventos de seguridad
El módulo de autenticación pam_faillock es capaz de registrar los intentos fallidos de inicio de sesión. La auditoría puede configurarse para registrar también los intentos de inicio de sesión fallidos y proporciona información adicional sobre el usuario que intentó iniciar sesión.
Búsqueda de eventos
Audit proporciona la utilidad ausearch, que se puede utilizar para filtrar las entradas del registro y proporcionar una pista de auditoría completa basada en varias condiciones.
Ejecución de informes de síntesis
La utilidad aureport puede utilizarse para generar, entre otras cosas, informes diarios de los eventos registrados. Un administrador del sistema puede entonces analizar estos informes e investigar más a fondo las actividades sospechosas.
Supervisión del acceso a la red
Las utilidades iptables y ebtables pueden ser configuradas para desencadenar eventos de Auditoría, permitiendo a los administradores del sistema monitorear el acceso a la red.
Nota

El rendimiento del sistema puede verse afectado en función de la cantidad de información que recoja la Auditoría.