Aula 10: Auditd — auditoria de sistema, rastreamento de eventos e conformidade

Nesta aula, você vai mergulhar no universo do Auditd, um sistema de auditoria avançado para Linux que permite o acompanhamento detalhado das atividades no sistema. Entender como configurar e utilizar o Auditd é fundamental para garantir a segurança do sistema e para atender a requisitos de conformidade.

O que você vai aprender nesta aula

• O que é o Auditd e por que ele é importante
• Quais são os tipos de licenças de software e o que elas significam na prática
• Como instalar e configurar o Auditd no Ubuntu/Debian e CentOS/RHEL
• Como interpretar logs e configurar regras de auditoria

O que é o Auditd?

O Auditd é o daemon de auditoria para o subsistema de auditoria do Linux, responsável por registrar eventos e atividades do sistema. Seu principal objetivo é ajudar administradores de sistemas e de segurança a obter um histórico detalhado das operações que ocorrem no sistema, como acessos a arquivos e modificações importantes. Este tipo de auditoria é fundamental para detecção de atividades suspeitas e para cumprir normas de conformidade.

Tipos de Licenças de Software

Quando falamos de softwares como o Auditd, é importante entender os tipos de licenças de software disponíveis:

• Open Source: Softwares cujo código é aberto para o público. Qualquer um pode estudar, modificar e distribuir o software.
• GPL (General Public License): Tipo de licença open source que permite a redistribuição e modificação, exigindo que o mesmo tipo de licença seja aplicado a qualquer derivado.
• MIT: Uma licença permissiva, permitindo que outros façam quase tudo, desde que a licença original seja incluída.
• BSD: Similar à MIT, com pequenas restrições adicionais relacionadas ao uso de nomes e marcas registradas.
• Apache: Também permissiva, permitindo modificações e redistribuição, com requisitos adicionais em relação a mudanças no código fonte.
• Comercial/Proprietária: Código fechado, disponibilizado sob permissão do proprietário. O uso é restrito e geralmente não permite modificações.

Instalação e Configuração do Auditd

Vamos agora instalar e configurar o Auditd em diferentes distribuições Linux. Veremos como fazer isso no Ubuntu/Debian e no CentOS/RHEL.

# Para Ubuntu/Debian
sudo apt update
sudo apt install auditd audispd-plugins

# Para CentOS/RHEL
sudo yum update
sudo yum install audit

# Iniciando o serviço em ambos os sistemas
sudo systemctl start auditd
sudo systemctl enable auditd

# Verificando se o serviço está rodando
sudo systemctl status auditd

Os comandos acima instalam e iniciam o Auditd no seu sistema. O comando systemctl status auditd verifica se o serviço está ativo e funcionando.

Entendendo os Logs e Configurando Regras de Auditoria

Com o Auditd em execução, ele começa a registrar eventos no arquivo de log geralmente localizado em /var/log/audit/audit.log.

Para definir regras de auditoria, usamos o comando auditctl. Aqui está um exemplo de como monitorar acesso a um arquivo específico:

# Monitorando acesso a um arquivo
sudo auditctl -w /etc/passwd -p war -k passwd_changes

Neste comando, -w define que queremos monitorar o arquivo /etc/passwd, -p define os tipos de acesso a monitorar (write, append, read), e -k atribui uma chave ao evento para facilitar a identificação nos logs.

Resumo da Aula 10

Hoje aprendemos o que é o Auditd, como ele pode ser crucial para a segurança e conformidade do sistema, e como instalá-lo e configurá-lo de forma prática. Também discutimos os diferentes tipos de licenças de software que podem afetar seu uso e modificação. Na próxima aula, vamos explorar como analisar e interpretar sofisticadamente os logs gerados pelo Auditd, uma habilidade essencial para qualquer profissional de segurança em TI.

Em nossos projetos na JRT Technology Solutions, implementamos o Auditd para garantir que nossos clientes tenham total visibilidade sobre suas operações, bem como suporte contínuo para qualquer questão relacionada à segurança Linux.