As regras de controle de auditoria são um componente vital da estrutura de segurança do Linux. As regras de controle de auditoria são gerenciadas por ferramentas de configuração auditd, como auditctl e ausearch, e permitem que os administradores do sistema especifiquem quando e quais eventos relevantes para a segurança serão registrados.
Abaixo está um guia passo a passo para definir regras de controle de auditoria no Rocky Linux 8:
1. Abra o arquivo de configuração de auditoria Para acessar e modificar regras de controle de auditoria, é necessário abrir o arquivo de configuração de auditoria. Isso pode ser feito usando um editor de texto com privilégios de root. Neste exemplo, usaremos o editor de texto vi:
```
sudo vi /etc/audit/audit.rules
```
2. Compreendendo a sintaxe das regras de controle de auditoria Dentro do arquivo audit.rules, você encontrará regras expressas em um formato específico. Cada regra consiste em três componentes principais:
a) Ação:especifica qual ação deve ser tomada quando uma regra corresponde. As duas ações comuns são “permitir” e “negar”.
b) Especificador de campo:determina qual aspecto do evento corresponde à regra. Por exemplo, o especificador de campo “comm” corresponde ao nome do processo, enquanto “key” corresponde à chave específica.
c) Especificador de valor:este é o valor que será comparado quando um evento ocorrer. Pode ser um valor único ou uma expressão regular.
3. Escrevendo uma regra de controle de auditoria Com o conhecimento da sintaxe das Regras de Controle de Auditoria, você pode criar uma nova regra. Como exemplo, vamos criar uma regra que registre todas as tentativas de acesso ao arquivo "/etc/passwd":
```
-w /etc/passwd -p wa -k pass_access
```
4. Explicação da regra personalizada: -w: Esse especificador corresponde a eventos de observação de arquivo, especialmente qualquer tentativa de gravar ou modificar o arquivo.
-p: Este especificador concentra-se na permissão e é definido como "wa", indicando tentativas de acesso de gravação.
-k: Este especificador define a chave da regra como "pass_access", permitindo-nos pesquisar facilmente eventos relacionados a esta regra específica.
5. Salve a configuração de auditoria Depois de criar suas regras personalizadas, salve o arquivo audit.rules pressionando a tecla Esc seguida de ":wq" para salvar e sair do vi.
6. Reinicie o Daemon de Auditoria Para que as novas regras de controle de auditoria entrem em vigor, você precisa reiniciar o serviço auditd:
```
sudo serviço auditado reiniciar
```
7. Verifique as regras de controle de auditoria Você pode verificar se as regras de controle de auditoria foram implementadas com sucesso usando o comando ausearch:
```
ausearch -k pass_access
```
Este comando exibirá todos os eventos que foram registrados de acordo com a chave "pass_access" que você especificou em sua regra personalizada.
Conclusão As regras de controle de auditoria no Rocky Linux 8 fornecem aos administradores de sistema controle granular sobre o registro de eventos relacionados à segurança. Ao elaborar e implementar cuidadosamente essas regras, você pode alcançar um nível mais alto de segurança e conformidade do sistema. Lembre-se, sempre considere os requisitos específicos do seu sistema e consulte a documentação oficial do Rocky Linux para obter informações adicionais ou cenários de uso avançados.
