Red Hat Training

A Red Hat training course is available for RHEL 8

37.3. Configuración de auditd para un entorno seguro

La configuración por defecto de auditd debería ser adecuada para la mayoría de los entornos. Sin embargo, si su entorno tiene que cumplir con políticas de seguridad estrictas, se sugieren los siguientes ajustes para la configuración del demonio de auditoría en el archivo /etc/audit/auditd.conf:

archivo_de_registro
El directorio que contiene los archivos de registro de Auditoría (normalmente /var/log/audit/) debería residir en un punto de montaje separado. Esto evita que otros procesos consuman espacio en este directorio y proporciona una detección precisa del espacio restante para el demonio de Auditoría.
archivo_de_registro_máximo
Especifica el tamaño máximo de un solo archivo de registro de Auditoría, debe establecerse para hacer uso completo del espacio disponible en la partición que contiene los archivos de registro de Auditoría.
max_log_file_action
Decide qué acción se lleva a cabo una vez que se alcanza el límite establecido en max_log_file, debería establecerse en keep_logs para evitar que se sobrescriban los archivos de registro de auditoría.
espacio_izquierdo
Especifica la cantidad de espacio libre que queda en el disco para que se active una acción establecida en el parámetro space_left_action. Debe establecerse un número que dé al administrador tiempo suficiente para responder y liberar espacio en el disco. El valor de space_left depende de la velocidad a la que se generan los archivos de registro de auditoría.
acción_espacio_izquierda
Se recomienda establecer el parámetro space_left_action en email o exec con un método de notificación apropiado.
espacio_administrador_izquierdo
Especifica la cantidad mínima absoluta de espacio libre para la cual se desencadena una acción establecida en el parámetro admin_space_left_action, debe establecerse en un valor que deje suficiente espacio para registrar las acciones realizadas por el administrador.
admin_space_left_action
Se debe establecer en single para poner el sistema en modo monopuesto y permitir al administrador liberar algo de espacio en el disco.
disk_full_action
Especifica una acción que se desencadena cuando no hay espacio libre disponible en la partición que contiene los archivos de registro de Auditoría, debe establecerse en halt o single. Esto asegura que el sistema se apague o funcione en modo monopuesto cuando Audit no pueda registrar más eventos.
acción_error_disco
Especifica una acción que se desencadena en caso de que se detecte un error en la partición que contiene los archivos de registro de auditoría, debe establecerse en syslog, single, o halt, dependiendo de sus políticas locales de seguridad en relación con el manejo de los fallos de hardware.
descarga
Debe establecerse en incremental_async. Funciona en combinación con el parámetro freq, que determina cuántos registros pueden enviarse al disco antes de forzar una sincronización con el disco duro. El parámetro freq debe ajustarse a 100. Estos parámetros aseguran que los datos de los eventos de Auditoría estén sincronizados con los archivos de registro en el disco, manteniendo un buen rendimiento para las ráfagas de actividad.

El resto de las opciones de configuración deben establecerse de acuerdo con su política de seguridad local.