Público-Alvo: Usuários intermediários e avançados interessados em fortalecer a segurança de seus sistemas Linux.

O monitoramento de eventos de segurança é uma prática essencial para garantir a integridade e a confiabilidade de sistemas Linux. Neste artigo, abordaremos técnicas e ferramentas que permitem aos administradores de sistemas identificar e responder a eventos de segurança em tempo real, fortalecendo a postura de segurança de seus sistemas.

Exemplos:

1. Utilizando o comando auditd para monitorar alterações em arquivos:

   sudo apt install auditd
   sudo auditctl -w /etc/passwd -p wa -k passwd_changes
   sudo ausearch -k passwd_changes

   Neste exemplo, instalamos o pacote auditd e configuramos uma regra para monitorar alterações no arquivo /etc/passwd. O parâmetro -p wa define que queremos monitorar eventos de escrita e acesso ao arquivo. O parâmetro -k passwd_changes define uma chave para identificar os eventos relacionados a alterações no arquivo /etc/passwd. Por fim, utilizamos o comando ausearch para visualizar os eventos identificados pela regra.

2. Utilizando o syslog para registrar eventos de autenticação:

   sudo nano /etc/rsyslog.conf

   No arquivo de configuração do rsyslog, podemos adicionar a seguinte linha para registrar eventos de autenticação:

   auth,authpriv.* /var/log/auth.log

   Após salvar as alterações, reinicie o serviço rsyslog para que as configurações entrem em vigor:

   sudo systemctl restart rsyslog

   Agora, todos os eventos de autenticação serão registrados no arquivo /var/log/auth.log, permitindo que os administradores monitorem e investiguem possíveis tentativas de acesso não autorizado.

Compartilhe este artigo com seus amigos que trabalham com sistemas Linux e desejam fortalecer a segurança de seus sistemas. Aprender sobre o monitoramento de eventos de segurança é fundamental para garantir a integridade e a confiabilidade de seus sistemas.