Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 10. Auditoria do sistema

A auditoria não fornece segurança adicional ao seu sistema; ao contrário, ela pode ser usada para descobrir violações das políticas de segurança usadas em seu sistema. Essas violações podem ainda ser evitadas por medidas de segurança adicionais, como a SELinux.

10.1. Auditoria Linux

O sistema de Auditoria Linux fornece uma maneira de rastrear informações relevantes para a segurança em seu sistema. Baseado em regras pré-configuradas, o Audit gera entradas de registro para registrar o máximo de informações sobre os eventos que estão acontecendo em seu sistema. Estas informações são cruciais para ambientes de missão crítica para determinar o infrator da política de segurança e as ações que ele executou.

A seguinte lista resume algumas das informações que a Audit é capaz de registrar em seus arquivos de registro:

  • Data e hora, tipo e resultado de um evento.
  • Etiquetas de sensibilidade de sujeitos e objetos.
  • Associação de um evento com a identidade do usuário que acionou o evento.
  • Todas as modificações na configuração de Auditoria e tentativas de acesso aos arquivos de log de Auditoria.
  • Todos os usos de mecanismos de autenticação, tais como SSH, Kerberos e outros.
  • Mudanças em qualquer banco de dados confiável, tais como /etc/passwd.
  • Tentativas de importar ou exportar informações de ou para o sistema.
  • Incluir ou excluir eventos baseados na identidade do usuário, etiquetas de assunto e objeto, e outros atributos.

O uso do sistema de Auditoria também é um requisito para uma série de certificações relacionadas à segurança. A auditoria é projetada para atender ou exceder as exigências das seguintes certificações ou guias de conformidade:

  • Perfil de Proteção de Acesso Controlado (CAPP)
  • Perfil de Proteção de Segurança Rotulado (LSPP)
  • Controle de Acesso à Base do Conjunto de Regras (RSBAC)
  • Manual de Operação do Programa Nacional de Segurança Industrial (NISPOM)
  • Federal Information Security Management Act (FISMA)
  • Indústria de cartões de pagamento
  • Guias de Implementação Técnica de Segurança (STIG)

A auditoria também tem sido:

  • Avaliado pela National Information Assurance Partnership (NIAP) e Best Security Industries (BSI).
  • Certificado para LSPP/CAPP/RSBAC/EAL4 no Red Hat Enterprise Linux 5.
  • Certificado ao Perfil de Proteção do Sistema Operacional / Garantia de Avaliação Nível 4 (OSPP/EAL4 ) no Red Hat Enterprise Linux 6.

Casos de uso

Acesso ao arquivo de observação
A auditoria pode rastrear se um arquivo ou um diretório foi acessado, modificado, executado ou se os atributos do arquivo foram alterados. Isto é útil, por exemplo, para detectar o acesso a arquivos importantes e ter uma pista de Auditoria disponível no caso de um destes arquivos ser corrompido.
Chamadas ao sistema de monitoramento
A auditoria pode ser configurada para gerar uma entrada de registro cada vez que uma determinada chamada de sistema é utilizada. Isto pode ser usado, por exemplo, para rastrear mudanças no tempo do sistema monitorando o settimeofday, clock_adjtime, e outras chamadas de sistema relacionadas ao tempo.
Comandos de gravação executados por um usuário
A auditoria pode rastrear se um arquivo foi executado, de modo que podem ser definidas regras para registrar cada execução de um determinado comando. Por exemplo, uma regra pode ser definida para cada executável no diretório /bin. As entradas de registro resultantes podem então ser pesquisadas por ID de usuário para gerar uma trilha de auditoria de comandos executados por usuário.
Gravação da execução dos patamares do sistema
Além de observar o acesso ao arquivo que traduz um caminho para um inode na invocação de regras, a Audit pode agora observar a execução de um caminho mesmo que ele não exista na invocação de regras, ou se o arquivo for substituído após a invocação de regras. Isto permite que as regras continuem a funcionar após a atualização de um programa executável ou antes mesmo que ele seja instalado.
Gravação de eventos de segurança
O módulo de autenticação pam_faillock é capaz de registrar tentativas de login falhadas. A auditoria também pode ser configurada para registrar tentativas de login falhadas e fornece informações adicionais sobre o usuário que tentou fazer o login.
Busca de eventos
A auditoria fornece o utilitário ausearch, que pode ser usado para filtrar as entradas dos registros e fornecer uma trilha de auditoria completa com base em várias condições.
Execução de relatórios resumidos
A utilidade aureport pode ser usada para gerar, entre outras coisas, relatórios diários de eventos registrados. Um administrador de sistema pode então analisar esses relatórios e investigar mais a fundo as atividades suspeitas.
Monitoramento do acesso à rede
Os utilitários iptables e ebtables podem ser configurados para acionar eventos de Auditoria, permitindo que os administradores do sistema monitorem o acesso à rede.
Nota

O desempenho do sistema pode ser afetado dependendo da quantidade de informação que é coletada pela Auditoria.