Introdução
O Auditd é uma ferramenta essencial para monitorar e registrar eventos críticos no Linux, como alterações em arquivos sensíveis e tentativas de acesso não autorizado. Configurar logs de auditoria é uma prática recomendada para reforçar a segurança e atender requisitos de compliance em VPS Linux e servidores dedicados.
Passos para Configurar o Auditd
- Instale o Auditd
sudo apt update && sudo apt install auditd -yPara CentOS/RHEL:
sudo yum install audit -y - Inicie e habilite o serviço
sudo systemctl start auditd sudo systemctl enable auditd - Configure regras de auditoria
Edite o arquivo de regras:
sudo nano /etc/audit/rules.d/audit.rulesExemplo: monitore alterações no /etc/passwd:
-w /etc/passwd -p wa -k passwd_changes - Recarregue as regras
sudo augenrules --load - Verifique os logs de auditoria
sudo ausearch -k passwd_changesOs logs ficam em
/var/log/audit/audit.log.
Checklist de Boas Práticas
- Faça backup das configurações antes de alterar regras.
- Monitore arquivos críticos como /etc/shadow, /etc/sudoers e diretórios de configuração.
- Restrinja o acesso ao arquivo de log (
/var/log/audit/audit.log). - Revise periodicamente as regras e os logs para identificar atividades suspeitas.
Resolução de Problemas Comuns
- Auditd não inicia: Verifique permissões e se há espaço em disco.
- Logs não estão sendo gerados: Confirme se as regras estão corretas e recarregue-as.
- Arquivo de log muito grande: Configure rotação de logs em
/etc/audit/auditd.conf. - Permissões de acesso: Certifique-se de que apenas administradores têm acesso aos logs.
Resumo
- Auditd reforça a segurança monitorando eventos críticos.
- Configuração flexível para diferentes necessidades de auditoria.
- Suporte 24/7 da AviraHost para dúvidas e incidentes.
Contrate Agora
Garanta máxima segurança e estabilidade para seu ambiente Linux. Veja planos de servidores dedicados com suporte especializado e conte com monitoramento avançado.