Envío de registros de auditoría al servidor SYSLOG

13

Estoy ejecutando varios sistemas basados ​​en RHEL que utilizan la funcionalidad de auditoría dentro del kernel 2.6 para rastrear la actividad del usuario y necesito que estos registros se envíen a servidores SYSLOG centralizados para el monitoreo y la correlación de eventos. Alguien sabe cómo lograr esto?

syn-
fuente
Como comentario adicional, recomiendo consultar el Benchmark de CIS para RHEL 5.0 / 5.1 para obtener algunos consejos sobre cómo hacer que la auditoría sea más útil.
Scott Pack
@packs - ¿Tienes un enlace a mano? Estoy interesado ..
Aaron Copley
1
@ Aaron - Puede comenzar aquí cisecurity.org/en-us/?route=downloads.multiform . A menos que su organización sea miembro, aceptará la licencia.
Scott Pack
@packs - ¡Gracias! Por eso no pude encontrarlo tan fácilmente. (Tendré que registrarme).
Aaron Copley

Respuestas:

9

Editar: 17/11/14

Es posible que esta respuesta siga funcionando, pero en 2014, usar el complemento Audisp es la mejor respuesta.


Si está ejecutando el servidor syslog de stock ksyslogd, no sé cómo hacerlo. Pero hay excelentes instrucciones para hacerlo con rsyslog en su Wiki . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Resumiré:

  • En el cliente remitente ( rsyslog.conf):

    # auditd audit.log  
    $ InputFileName /var/log/audit/audit.log  
    $ InputFileTag tag_audit_log:  
    $ InputFileStateFile audit_log  
    $ InputFileSeverity info  
    $ InputFileFacility local6  
    $ InputRunFileMonitor
    

    Tenga en cuenta que el imfilemódulo deberá haberse cargado previamente en la configuración de rsyslog. Esta es la línea responsable de eso:

    $ ModLoad imfile

    Así que verifique si está en su rsyslog.confarchivo. Si no está allí, agréguelo en la ### MODULES ###sección para habilitar este módulo; de lo contrario, la configuración anterior para el registro auditado no funcionará.

  • En el servidor receptor ( rsyslog.conf):

    $ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
    local6. *
    

Reinicie el servicio ( service rsyslog restart) en ambos hosts y debería comenzar a recibir auditdmensajes.

Aaron Copley
fuente
Desafortunadamente, (pero por una razón aceptable) syslog no es una opción de salida con auditado, por lo que debe hacer algo como esto.
Scott Pack
Para su información, cualquiera que esté configurando esto, la línea de configuración requerida para cargar el archivo es: "$ ModLoad imfile". Puede encontrar más información sobre el módulo aquí: rsyslog.com/doc/imfile.html
syn-
1
Si está en un servidor de producción / ocupado y está enviando registros, esta no es una manera eficiente de hacer esto ... imfile utiliza sondeo, por lo que su CPU desperdiciada hace ciclos siempre para ver el archivo ...
Arenstar
14

El método más seguro y correcto es usar el complemento audispd syslog y / o audisp-remote .

Para que funcione rápidamente, puede editar /etc/audisp/plugins.d/syslog.conf . RHEL incluye esto por defecto, aunque está deshabilitado. Solo necesita cambiar una línea para habilitarla, active = yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Pero esto no es muy seguro por defecto; syslog es un protocolo inseguro en su base, no encriptado, no autenticado y en su especificación UDP original, completamente poco confiable. También almacena mucha información en archivos inseguros. El sistema de auditoría de Linux maneja información más confidencial de la que generalmente se envía a syslog, por lo tanto, es una separación. audisp-remote también proporciona autenticación y encriptación Kerberos, por lo que funciona bien como un transporte seguro. Usando audisp-remote, enviaría mensajes de auditoría usando audispd a un servidor audisp-remote que se ejecuta en su servidor syslog central. El audisp-remote luego usaría el complemento audispd syslog para alimentarlos al syslog dameon.

¡Pero hay otros métodos! rsyslog es muy robusto! rsyslog también ofrece cifrado Kerberos, más TLS. Solo asegúrese de que esté configurado de forma segura.

lamawithonel
fuente
¿Hay alguna preocupación de seguridad con tener audisp adelante a un servidor rsyslog locales, y luego tener el servidor local de rsyslog adelante a un servidor rsyslog agregador distancia (mediante TLS?)
2rs2ts
3

Puede iniciar sesión directamente en syslog usando audisp, es parte del paquete de auditoría. En Debian (aún no lo he probado en otras distribuciones) edite en:

/etc/audisp/plugins.d/syslog.conf

y establecer active=yes.

Diego Woitasen
fuente