Nesta aula, você vai mergulhar no universo do Auditd, um sistema de auditoria avançado para Linux que permite o acompanhamento detalhado das atividades no sistema. Entender como configurar e utilizar o Auditd é fundamental para garantir a segurança do sistema e para atender a requisitos de conformidade.
O que você vai aprender nesta aula
- O que é o Auditd e por que ele é importante
- Quais são os tipos de licenças de software e o que elas significam na prática
- Como instalar e configurar o Auditd no Ubuntu/Debian e CentOS/RHEL
- Como interpretar logs e configurar regras de auditoria
O que é o Auditd?
O Auditd é o daemon de auditoria para o subsistema de auditoria do Linux, responsável por registrar eventos e atividades do sistema. Seu principal objetivo é ajudar administradores de sistemas e de segurança a obter um histórico detalhado das operações que ocorrem no sistema, como acessos a arquivos e modificações importantes. Este tipo de auditoria é fundamental para detecção de atividades suspeitas e para cumprir normas de conformidade.
Tipos de Licenças de Software
Quando falamos de softwares como o Auditd, é importante entender os tipos de licenças de software disponíveis:
- Open Source: Softwares cujo código é aberto para o público. Qualquer um pode estudar, modificar e distribuir o software.
- GPL (General Public License): Tipo de licença open source que permite a redistribuição e modificação, exigindo que o mesmo tipo de licença seja aplicado a qualquer derivado.
- MIT: Uma licença permissiva, permitindo que outros façam quase tudo, desde que a licença original seja incluída.
- BSD: Similar à MIT, com pequenas restrições adicionais relacionadas ao uso de nomes e marcas registradas.
- Apache: Também permissiva, permitindo modificações e redistribuição, com requisitos adicionais em relação a mudanças no código fonte.
- Comercial/Proprietária: Código fechado, disponibilizado sob permissão do proprietário. O uso é restrito e geralmente não permite modificações.
Instalação e Configuração do Auditd
Vamos agora instalar e configurar o Auditd em diferentes distribuições Linux. Veremos como fazer isso no Ubuntu/Debian e no CentOS/RHEL.
# Para Ubuntu/Debian
sudo apt update
sudo apt install auditd audispd-plugins
# Para CentOS/RHEL
sudo yum update
sudo yum install audit
# Iniciando o serviço em ambos os sistemas
sudo systemctl start auditd
sudo systemctl enable auditd
# Verificando se o serviço está rodando
sudo systemctl status auditd
Os comandos acima instalam e iniciam o Auditd no seu sistema. O comando systemctl status auditd verifica se o serviço está ativo e funcionando.
Entendendo os Logs e Configurando Regras de Auditoria
Com o Auditd em execução, ele começa a registrar eventos no arquivo de log geralmente localizado em /var/log/audit/audit.log.
Para definir regras de auditoria, usamos o comando auditctl. Aqui está um exemplo de como monitorar acesso a um arquivo específico:
# Monitorando acesso a um arquivo
sudo auditctl -w /etc/passwd -p war -k passwd_changes
Neste comando, -w define que queremos monitorar o arquivo /etc/passwd, -p define os tipos de acesso a monitorar (write, append, read), e -k atribui uma chave ao evento para facilitar a identificação nos logs.
Resumo da Aula 10
Hoje aprendemos o que é o Auditd, como ele pode ser crucial para a segurança e conformidade do sistema, e como instalá-lo e configurá-lo de forma prática. Também discutimos os diferentes tipos de licenças de software que podem afetar seu uso e modificação. Na próxima aula, vamos explorar como analisar e interpretar sofisticadamente os logs gerados pelo Auditd, uma habilidade essencial para qualquer profissional de segurança em TI.
Em nossos projetos na JRT Technology Solutions, implementamos o Auditd para garantir que nossos clientes tenham total visibilidade sobre suas operações, bem como suporte contínuo para qualquer questão relacionada à segurança Linux.
Quer aprender na prática com especialistas?
A JRT Technology Solutions oferece treinamentos e implementação de Segurança Linux para equipes corporativas.