Envoi de journaux d'audit au serveur SYSLOG

13

J'exécute plusieurs systèmes basés sur RHEL qui utilisent la fonctionnalité d'audit dans le noyau 2.6 pour suivre l'activité des utilisateurs et j'ai besoin que ces journaux soient envoyés aux serveurs SYSLOG centralisés pour la surveillance et la corrélation des événements. Quelqu'un sait comment y parvenir?

linux syslog redhat audit syn-
la source
En passant, je recommande de consulter le CIS Benchmark pour RHEL 5.0 / 5.1 pour obtenir des conseils sur la façon de rendre auditd plus utile.
Scott Pack du
@packs - Avez-vous un lien à portée de main? Je suis intéressé ..
Aaron Copley
1
@Aaron - Vous pouvez commencer ici cisecurity.org/en-us/?route=downloads.multiform . À moins que votre organisation ne soit membre, vous accepterez la licence.
Scott Pack
@packs - Merci! C'est pourquoi je ne l'ai pas trouvé si facilement. (Je vais devoir m'inscrire.)
Aaron Copley

Réponses:

9

Modifier: 17/11/14

Cette réponse peut encore fonctionner, mais en 2014, l' utilisation du plugin Audisp est la meilleure réponse.

Si vous utilisez le serveur syslog ksyslogd stock, je ne sais pas comment faire. Mais il y a d'excellentes instructions pour le faire avec rsyslog sur leur Wiki . ( http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log )

Je résumerai:

  • Sur le client expéditeur ( rsyslog.conf): 

    # auditd audit.log  
$ InputFileName /var/log/audit/audit.log  
$ InputFileTag tag_audit_log:  
$ InputFileStateFile audit_log  
$ InputFileSeverity info  
$ InputFileFacility local6  
$ InputRunFileMonitor

    Notez que le imfilemodule devra avoir été chargé précédemment dans la configuration rsyslog. C'est la ligne responsable de cela:

    Imfile $ ModLoad

    Vérifiez donc si c'est dans votre rsyslog.confdossier. S'il n'est pas là, ajoutez-le dans la ### MODULES ###section pour activer ce module; sinon, la configuration ci-dessus pour la journalisation auditd ne fonctionnera pas.

  • Sur le serveur récepteur ( rsyslog.conf): 

    $ template HostAudit, "/ var / log / rsyslog /% HOSTNAME% / audit_log"  
local6. *

Redémarrez le service ( service rsyslog restart) sur les deux hôtes et vous devriez commencer à recevoir des auditdmessages.

Aaron Copley
la source
Malheureusement, (mais pour une raison acceptable) syslog n'est pas une option de sortie avec auditd, vous devez donc le faire quelque chose comme ça.
Scott Pack du
Juste pour info pour toute autre personne configurant ceci, la ligne de configuration requise pour charger imfile est: "$ ModLoad imfile" Plus d'informations sur le module peuvent être trouvées ici: rsyslog.com/doc/imfile.html
syn-
1
Si vous êtes sur un serveur de production / occupé et que vous envoyez des journaux, ce n'est pas un moyen efficace de le faire .. imfile utilise l'interrogation, ce qui gaspille vos cycles de processeur toujours pour regarder le fichier ..
Arenstar
14

La méthode la plus sûre et la plus correcte consiste à utiliser le plugin syslog audispd et / ou audisp-remote .

Pour le faire fonctionner rapidement, vous pouvez éditer /etc/audisp/plugins.d/syslog.conf . RHEL inclut cela par défaut, bien qu'il soit désactivé. Il suffit de changer une ligne pour l'activer, active = yes .

active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string

Mais ce n'est pas très sécurisé par défaut; syslog est un protocole non sécurisé à sa base, non chiffré, non authentifié et dans sa spécification UDP d'origine, totalement non fiable. Il stocke également de nombreuses informations dans des fichiers non sécurisés. Le système d'audit Linux gère des informations plus sensibles que celles habituellement envoyées à syslog, d'où sa séparation. audisp-remote fournit également l'authentification et le chiffrement Kerberos, il fonctionne donc bien comme transport sécurisé. En utilisant audisp-remote, vous enverriez des messages d'audit en utilisant audispd à un serveur audisp-remote s'exécutant sur votre serveur syslog central. L'audisp-remote utiliserait alors le plugin syslog audispd pour les alimenter dans la dameon syslog.

Mais il existe d'autres méthodes! rsyslog est très robuste! rsyslog propose également le chiffrement Kerberos, plus TLS. Assurez-vous simplement qu'il est configuré en toute sécurité.

lamawithonel
la source
Existe-t-il des problèmes de sécurité liés à la transmission d'Audisp à un serveur rsyslog local, puis au transfert du serveur rsyslog local à un serveur rsyslog d'agrégateur distant (à l'aide de TLS?)
2rs2ts
3

Vous pouvez vous connecter directement à syslog en utilisant audisp, cela fait partie du package d'audit. Dans Debian (je n'ai pas encore essayé dans d'autres distributions) éditez dans:

/etc/audisp/plugins.d/syslog.conf

et définir active=yes.

Diego Woitasen
la source