A continuación se muestra una guía paso a paso para definir reglas de control de auditoría en Rocky Linux 8:
1. Abra el archivo de configuración de auditoría
Para acceder y modificar las reglas de control de auditoría, debe abrir el archivo de configuración de auditoría. Esto se puede lograr utilizando un editor de texto con privilegios de root. En este ejemplo, usaremos el editor de texto vi:
```
sudo vi /etc/audit/audit.rules
```
2. Comprender la sintaxis de las reglas de control de auditoría
Dentro del archivo audit.rules, encontrará reglas expresadas en un formato específico. Cada regla consta de tres componentes principales:
a) Acción:esto especifica qué acción se debe tomar cuando una regla coincide. Las dos acciones comunes son "permitir" y "denegar".
b) Especificador de campo:determina qué aspecto del evento coincide con la regla. Por ejemplo, el especificador de campo "comm" coincide con el nombre del proceso, mientras que "key" coincide con la clave específica.
c) Especificador de valor:este es el valor con el que se comparará cuando ocurra un evento. Puede ser un valor único o una expresión regular.
3. Escribir una regla de control de auditoría
Con el conocimiento de la sintaxis de las reglas de control de auditoría, puede crear una nueva regla. Como ejemplo, creemos una regla que registre todos los intentos de acceder al archivo "/etc/passwd":
```
-w /etc/contraseña -p wa -k acceso_contraseña
```
4. Explicación de la regla personalizada:
-w: Este especificador coincide con los eventos de observación de archivos, en particular cualquier intento de escribir o modificar el archivo.
-p: Este especificador se centra en el permiso y está configurado en "wa", lo que indica intentos de acceso de escritura.
-k: Este especificador establece la clave de la regla en "pass_access", lo que nos permite buscar fácilmente eventos relacionados con esta regla específica.
5. Guarde la configuración de auditoría
Una vez que haya creado sus reglas personalizadas, guarde el archivo audit.rules presionando la tecla Esc seguida de ":wq" para guardar y salir de vi.
6. Reinicie el demonio de auditoría
Para que las nuevas Reglas de control de auditoría entren en vigor, es necesario reiniciar el servicio auditado:
```
reinicio auditado del servicio sudo
```
7. Verificar las reglas de control de auditoría
Puede verificar que las reglas de control de auditoría se implementaron correctamente utilizando el comando ausearch:
```
ausearch -k acceso_contraseña
```
Este comando mostrará cualquier evento que se haya registrado de acuerdo con la clave "pass_access" que especificó en su regla personalizada.
Conclusión
Las reglas de control de auditoría en Rocky Linux 8 brindan a los administradores de sistemas un control granular sobre el registro de eventos relacionados con la seguridad. Si elabora e implementa cuidadosamente estas reglas, puede lograr un mayor nivel de seguridad y cumplimiento del sistema. Recuerde, considere siempre los requisitos específicos de su sistema y consulte la documentación oficial de Rocky Linux para obtener información adicional o escenarios de uso avanzado.