El demonio de auditoría (auditd) es una herramienta esencial en sistemas GNU/Linux para monitorear y registrar eventos del sistema, lo que permite a los administradores mantener la seguridad y el cumplimiento de políticas. A continuación, se detallan los pasos para instalar, configurar y utilizar auditd en Debian.
💻 Instalación de auditd
Para instalar auditd y los plugins necesarios en Debian, ejecute:
Esto instalará el demonio de auditoría y el framework de envío de auditorías.
🔨 Configuración inicial
Una vez instalado, es recomendable configurar auditd para que se inicie automáticamente con el sistema:
Luego, inicie el servicio:
La configuración de auditd se encuentra en /etc/audit/auditd.conf. Para entornos que requieren políticas de seguridad estrictas, se sugieren los siguientes ajustes:
- log_file: Especifica el directorio donde se almacenan los registros de auditoría, generalmente
/var/log/audit/. Es recomendable que este directorio esté en una partición separada para evitar que otros procesos consuman su espacio. - max_log_file: Define el tamaño máximo de un solo archivo de registro de auditoría. Debe ajustarse según el espacio disponible en la partición designada.
- max_log_file_action: Determina la acción a realizar cuando se alcanza el límite de
max_log_file. Configúrelo enkeep_logspara evitar que se sobrescriban los registros existentes. - space_left: Establece el umbral de espacio libre en el sistema de archivos que, al alcanzarse, genera una advertencia. Ajuste este valor para proporcionar tiempo suficiente al administrador para liberar espacio.
- disk_full_action: Especifica la acción a realizar cuando no hay espacio libre para los registros de
auditd. Los valores posibles sonignore,syslog,exec,suspendysingle.
Estos parámetros ayudan a garantizar que auditd funcione de manera efectiva y segura.
📂 Definición de reglas de auditoría
Las reglas de auditoría determinan qué eventos se registran. Para definir reglas persistentes, edite el archivo /etc/audit/rules.d/audit.rules. A continuación, se presenta un conjunto de reglas recomendadas:
Estas reglas auditan modificaciones en archivos críticos y la ejecución de comandos en el sistema.
Después de modificar las reglas, recargue la configuración de auditd:
🏴☠️ Ejemplo de configuración para hardenizar el sistema
Si deseas mejorar la seguridad de tu sistema con una configuración más estricta, puedes añadir las siguientes reglas avanzadas a /etc/audit/rules.d/harden.rules:
Para aplicar estas reglas de forma inmediata, ejecuta:
Y para hacerlas persistentes tras un reinicio, asegúrate de que estén en /etc/audit/rules.d/.
🔍 Monitoreo de registros de auditoría
Los registros generados por auditd se almacenan en /var/log/audit/audit.log. Para analizar estos registros, puede utilizar las siguientes herramientas:
- ausearch: Permite buscar eventos específicos en los registros de auditoría.
- aureport: Genera informes resumidos de los eventos de auditoría.
Estas herramientas facilitan la revisión y el análisis de los eventos registrados por auditd.
🛡️ Configuración avanzada y refuerzo de seguridad
Si deseas una configuración avanzada que cumpla con los estándares de seguridad más rigurosos, puedes cargar un conjunto de reglas prediseñado basado en el STIG (Security Technical Implementation Guide):
Esta configuración aplicará reglas más estrictas para mejorar la seguridad del sistema.
Definición de reglas de auditoría
Las reglas de auditoría determinan qué eventos se registran. Para definir reglas persistentes, edite el archivo:/etc/audit/rules.d/audit.rules.
Reglas recomendadas para aplicar y hardenizar el sistema## Eliminar reglas existentes
-D
## Establecer un tamaño de búfer grande para evitar la pérdida de registros
-b 8192
## Modo de fallo: 0 (silencioso), 1 (mensaje), 2 (pánico)
-f 1
## Auditar cambios en archivos críticos del sistema
-w /etc/passwd -p wa -k user-modify
-w /etc/group -p wa -k group-modify
-w /etc/shadow -p wa -k shadow-modify
## Auditar la ejecución de comandos
-a always,exit -F arch=b64 -S execve -k exec
-a always,exit -F arch=b32 -S execve -k exec
Estas reglas auditan modificaciones en archivos críticos y la ejecución de comandos en el sistema.