Auditoria e Monitoramento
Aula 5 de 6
auditd — System Auditing
# Configuração: /etc/audit/auditd.conf e /etc/audit/rules.d/
auditctl -l # listar regras atuais
ausearch --start today # buscar eventos de hoje
aureport --summary # resumo de eventos
# Regras de auditoria
auditctl -w /etc/passwd -p wa -k passwd_changes
auditctl -w /etc/shadow -p wa -k shadow_changes
auditctl -w /var/log/ -p wa -k log_changes
auditctl -w /etc/ssh/sshd_config -p wa -k sshd_config
auditctl -a exit,always -S execve -k command_execution
Regras Persistentes
# /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k identity
-w /etc/sudoers -p wa -k sudoers
-w /var/log/auth.log -p wa -k authlog
-a always,exit -S execve -F euid=0 -k root_commands
-a always,exit -S openat -F a2=0100 -k file_access
# Reiniciar auditd
systemctl restart auditd
Log Management com rsyslog
# /etc/rsyslog.conf — log centralizado
module(load="imudp")
module(load="imtcp")
# Servidor
input(type="imudp" port="514")
input(type="imtcp" port="514")
$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?RemoteLogs
# Cliente
*.* @192.168.1.100:514 # UDP
*.* @@192.168.1.100:514 # TCP
AIDE — File Integrity Monitoring
# Instalação
apt install aide
# Inicializar banco
aideinit
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
# /etc/aide/aide.conf (personalizar)
/etc/init.d p+i+n+u+g+s+b+m+c+md5+sha256
/bin p+i+n+u+g+s+b+m+c+md5+sha256
# Verificar
aide --check
rkhunter e chkrootkit
# rkhunter — rootkit hunter
rkhunter --check
rkhunter --check --sk # skip summary
rkhunter --propupd # atualizar propriedades
# chkrootkit
chkrootkit
Logwatch — Relatórios Automáticos
# Instalação
apt install logwatch
# Configuração: /usr/share/logwatch/default.conf/logwatch.conf
Output = mail
MailTo = [email protected]
Detail = High
# Executar
logwatch --detail High --mailto [email protected] --range today
Auditoria não serve apenas para investigação pós-incidente — ela também funciona como deterrência. Saiba que logs podem detectar ataques em andamento.