Estoy ejecutando varios sistemas basados en RHEL que utilizan la funcionalidad de auditoría dentro del kernel 2.6 para rastrear la actividad del usuario y necesito que estos registros se envíen a servidores SYSLOG centralizados para el monitoreo y la correlación de eventos. Alguien sabe cómo lograr esto?
13
Respuestas:
Editar: 17/11/14
Es posible que esta respuesta siga funcionando, pero en 2014, usar el complemento Audisp es la mejor respuesta.
Si está ejecutando el servidor syslog de stock ksyslogd, no sé cómo hacerlo. Pero hay excelentes instrucciones para hacerlo con rsyslog en su Wiki . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )
Resumiré:
En el cliente remitente (
rsyslog.conf
):Tenga en cuenta que el
imfile
módulo deberá haberse cargado previamente en la configuración de rsyslog. Esta es la línea responsable de eso:Así que verifique si está en su
rsyslog.conf
archivo. Si no está allí, agréguelo en la### MODULES ###
sección para habilitar este módulo; de lo contrario, la configuración anterior para el registro auditado no funcionará.En el servidor receptor (
rsyslog.conf
):Reinicie el servicio (
service rsyslog restart
) en ambos hosts y debería comenzar a recibirauditd
mensajes.fuente
El método más seguro y correcto es usar el complemento audispd syslog y / o audisp-remote .
Para que funcione rápidamente, puede editar /etc/audisp/plugins.d/syslog.conf . RHEL incluye esto por defecto, aunque está deshabilitado. Solo necesita cambiar una línea para habilitarla, active = yes .
Pero esto no es muy seguro por defecto; syslog es un protocolo inseguro en su base, no encriptado, no autenticado y en su especificación UDP original, completamente poco confiable. También almacena mucha información en archivos inseguros. El sistema de auditoría de Linux maneja información más confidencial de la que generalmente se envía a syslog, por lo tanto, es una separación. audisp-remote también proporciona autenticación y encriptación Kerberos, por lo que funciona bien como un transporte seguro. Usando audisp-remote, enviaría mensajes de auditoría usando audispd a un servidor audisp-remote que se ejecuta en su servidor syslog central. El audisp-remote luego usaría el complemento audispd syslog para alimentarlos al syslog dameon.
¡Pero hay otros métodos! rsyslog es muy robusto! rsyslog también ofrece cifrado Kerberos, más TLS. Solo asegúrese de que esté configurado de forma segura.
fuente
Puede iniciar sesión directamente en syslog usando audisp, es parte del paquete de auditoría. En Debian (aún no lo he probado en otras distribuciones) edite en:
y establecer
active=yes
.fuente