Skip to main content

Regras Especiais



Introdução

As regras apresentadas aqui ajudam os administradores a monitorar atividades críticas, identificando possíveis abusos de privilégio e aumentando a segurança no sistema. Abaixo estão os passos para configurar e carregar essas regras.

# Entre no diretório onde estão as regras:
$ cd /usr/share/doc/auditd/examples/rules

# Copie as regras para o local correto:
$ sudo cp 10-base-config.rules 30-stig.rules 31-privileged.rules 99-finalize.rules /etc/audit/rules.d/

# Compile e Carregue as Regras:
$ sudo augenrules --load
No rules
enabled 1
failure 1
pid 2213
rate_limit 0
backlog_limit 8192
lost 0
backlog 79
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 2213
rate_limit 0
backlog_limit 8192
lost 0
backlog 83
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 2213
rate_limit 0
backlog_limit 8192
lost 0
backlog 87
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 2213
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0

# Reinicie o serviço do auditd:
$ sudo systemctl restart auditd


Funções dos Arquivos de Regras

  • 30-stig.rules
    Fornece uma auditoria robusta para monitorar atividades críticas, alinhando-se às diretrizes de conformidade com normas de segurança. Inclui regras para detecção de atividades suspeitas.

  • 31-privileged.rules
    Monitora o uso de comandos privilegiados, especialmente aqueles com permissões SUID (executados com privilégios elevados), tanto para tentativas bem-sucedidas quanto malsucedidas. Isso ajuda a identificar o uso de comandos críticos, como su, sudo, entre outros, em contextos elevados.



Gerando Relatórios de Autenticação com aureport

Para visualizar um relatório de autenticação com detalhes como data, hora, usuário, terminal e sucesso da operação, utilize:

$ sudo aureport --input-logs -au

Authentication Report
============================================
# date time  acct host  term exesuccess event
============================================
1. 10/27/2024 15:47:46 root ? /dev/pts/1 /usr/bin/su yes  691
2. 10/27/2024 16:40:48 root ? /dev/pts/1 /usr/bin/su yes  174

Para ver o relatório de autenticação da última hora, utilize:

$ sudo aureport --input-logs -au -ts $(date --date '+1 hour ago' '+%H:%M')
Authentication Report
============================================
# date time  acct host  term exesuccess event
============================================
1. 10/27/2024 15:47:46 root ? /dev/pts/1 /usr/bin/su yes  691
2. 10/27/2024 16:40:48 root ? /dev/pts/1 /usr/bin/su yes  174

Essas configurações e comandos ajudam a monitorar atividades sensíveis e a receber notificações automáticas sobre eventos de autenticação, garantindo maior controle e segurança sobre ações críticas no sistema.