Sistemas  
 
Rede de conhecimento computador >> Sistemas >> Linux >> Content
Como definir regras de controle de auditoria no Rocky Linux 8
As regras de controle de auditoria são um componente vital da estrutura de segurança do Linux. As regras de controle de auditoria são gerenciadas por ferramentas de configuração auditd, como auditctl e ausearch, e permitem que os administradores do sistema especifiquem quando e quais eventos relevantes para a segurança serão registrados.

Abaixo está um guia passo a passo para definir regras de controle de auditoria no Rocky Linux 8:

1. Abra o arquivo de configuração de auditoria
Para acessar e modificar regras de controle de auditoria, é necessário abrir o arquivo de configuração de auditoria. Isso pode ser feito usando um editor de texto com privilégios de root. Neste exemplo, usaremos o editor de texto vi:

```
sudo vi /etc/audit/audit.rules
```

2. Compreendendo a sintaxe das regras de controle de auditoria
Dentro do arquivo audit.rules, você encontrará regras expressas em um formato específico. Cada regra consiste em três componentes principais:

a) Ação:especifica qual ação deve ser tomada quando uma regra corresponde. As duas ações comuns são “permitir” e “negar”.

b) Especificador de campo:determina qual aspecto do evento corresponde à regra. Por exemplo, o especificador de campo “comm” corresponde ao nome do processo, enquanto “key” corresponde à chave específica.

c) Especificador de valor:este é o valor que será comparado quando um evento ocorrer. Pode ser um valor único ou uma expressão regular.

3. Escrevendo uma regra de controle de auditoria
Com o conhecimento da sintaxe das Regras de Controle de Auditoria, você pode criar uma nova regra. Como exemplo, vamos criar uma regra que registre todas as tentativas de acesso ao arquivo "/etc/passwd":

```
-w /etc/passwd -p wa -k pass_access
```

4. Explicação da regra personalizada:

-w: Esse especificador corresponde a eventos de observação de arquivo, especialmente qualquer tentativa de gravar ou modificar o arquivo.

-p: Este especificador concentra-se na permissão e é definido como "wa", indicando tentativas de acesso de gravação.

-k: Este especificador define a chave da regra como "pass_access", permitindo-nos pesquisar facilmente eventos relacionados a esta regra específica.

5. Salve a configuração de auditoria
Depois de criar suas regras personalizadas, salve o arquivo audit.rules pressionando a tecla Esc seguida de ":wq" para salvar e sair do vi.

6. Reinicie o Daemon de Auditoria
Para que as novas regras de controle de auditoria entrem em vigor, você precisa reiniciar o serviço auditd:

```
sudo serviço auditado reiniciar
```

7. Verifique as regras de controle de auditoria
Você pode verificar se as regras de controle de auditoria foram implementadas com sucesso usando o comando ausearch:

```
ausearch -k pass_access
```

Este comando exibirá todos os eventos que foram registrados de acordo com a chave "pass_access" que você especificou em sua regra personalizada.

Conclusão
As regras de controle de auditoria no Rocky Linux 8 fornecem aos administradores de sistema controle granular sobre o registro de eventos relacionados à segurança. Ao elaborar e implementar cuidadosamente essas regras, você pode alcançar um nível mais alto de segurança e conformidade do sistema. Lembre-se, sempre considere os requisitos específicos do seu sistema e consulte a documentação oficial do Rocky Linux para obter informações adicionais ou cenários de uso avançados.

Anterior :

Próximo :
  Os artigos relacionados
·Como mostrar permissões efetivas em Linux 
·Como montar arquivos BIN em Linux 
·Como endereços Hard- Código de Mac no Linux 
·Como alterar usuários no CentOS 
·Como inicializar um computador com CDs ao vivo no Puppy…
·Como configurar IPChains no CentOS 
·Como criar um ISO em Bash 
·Como fazer um RAM Disk Linux 
·Como ativar o cartão sem fio usando o Linux em um Pavi…
·Como o Ubuntu Handle Iptables 
  Artigos em destaque
·Como restaurar meu computador para as configurações d…
·Como inicializar a partir de um disquete no Windows XP 
·Como girar um monitor em uma Radeon Mobility X1600 
·Como detectar Realtek Drivers 
·Como adicionar Temas Desktop para o Vista 
·Como fazer um disco de inicialização DVD 
·Como remover uma senha de configuração em um laptop g…
·Como usar a ferramenta Sysprep 
·Como instalar o Opera no Ubuntu Gutsy Gibbon 
·Como reparar um driver USB no Windows XP 
Cop e direita © Rede de conhecimento computador https://ptcomputador.com Todos os Direitos Reservados