Reglas Predefinidas

Red Hat Enterprise Linux, incluye varias reglas definidas que pueden ser consultadas en el directorio: /usr/share/audit/sample-rules/.

Explorar a detalle cada una esta fuera del alance de de esto curso.

Nos enfocaremos en activar estar reglas y hacerlas permanentes en el sistema.

Registar actualizaciones de software

Podemos utilizar las reglas pre-configuradas 44-installers.rules, para indicarle a auditd que registro lo eventos para los siguiente comandos:

dnf
yum
pip
npm
cpan
gem
luarocks

Para registrar eventos de rpm, instalar el paquete rpm-plugin-audit. De esta forma Auditd, generará eventos SOFTWARE_UPDATE cuando se realizan operaciones de mantenimiento de software.

Puede listar esos eventos ejecutando.

ausearch -m SOFTWARE_UPDATE

Copiar el archivo con las reglas del archivo /usr/share/audit/sample-rules/44-installers.rules a /etc/audit/rules.d/
```
cp /usr/share/audit/sample-rules/44-installers.rules /etc/audit/rules.d/
```

Cargar las reglas.

augenrules --load

Salida similar:

No rules
enabled 1
failure 1
pid 608
rate_limit 0
backlog_limit 8192
lost 0
backlog 4
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 608
rate_limit 0
backlog_limit 8192
lost 0
backlog 4
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 608
rate_limit 0
backlog_limit 8192
lost 0
backlog 25
backlog_wait_time 60000
backlog_wait_time_actual 0

Listar las reglas cargadas.

auditctl -l

Salida:

-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/dnf-3 -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/dnf-3 -F key=software-installer
-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/yum -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/yum -F key=software-installer
-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/pip -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/pip -F key=software-installer
-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/npm -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/npm -F key=software-installer
-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/cpan -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/cpan -F key=software-installer
-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/gem -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/gem -F key=software-installer
-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/luarocks -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/luarocks -F key=software-installer

Validando las reglas.
```
dnf install -y tmux
```

Buscar el evento en los registros.

ausearch -ts recent -k software-installer

Salida similar:

time->Thu XX XX 18:09:52 2025
type=PROCTITLE msg=audit(1745518192.373:244): proctitle=2F7573722F62696E2F707974686F6E332E39002F62696E2F646E6600696E7374616C6C002D7900746D7578
type=PATH msg=audit(1745518192.373:244): item=2 name="/lib64/ld-linux-x86-64.so.2" inode=33685668 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1745518192.373:244): item=1 name="/usr/bin/python3.9" inode=16912026 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1745518192.373:244): item=0 name="/bin/dnf" inode=17046690 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:rpm_exec_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1745518192.373:244): cwd="/root"
type=EXECVE msg=audit(1745518192.373:244): argc=5 a0="/usr/bin/python3.9" a1="/bin/dnf" a2="install" a3="-y" a4="tmux"
type=SYSCALL msg=audit(1745518192.373:244): arch=c000003e syscall=59 success=yes exit=0 a0=562b636880c0 a1=562b636874b0 a2=562b636683e0 a3=8 items=3 ppid=4047 pid=30455 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=3 comm="dnf" exe="/usr/bin/python3.9" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="software-installer"

Validar persistencia de reglas (recuerde utilizar service).
```
service auditd restart
```

Listar las reglas cargadas.

auditctl -l

Salida:

-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/dnf-3 -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/dnf-3 -F key=software-installer
-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/yum -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/yum -F key=software-installer
-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/pip -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/pip -F key=software-installer
-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/npm -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/npm -F key=software-installer
-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/cpan -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/cpan -F key=software-installer
-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/gem -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/gem -F key=software-installer
-a always,exit -F arch=b32 -S execve -F perm=x -F path=/usr/bin/luarocks -F key=software-installer
-a always,exit -F arch=b64 -S execve -F perm=x -F path=/usr/bin/luarocks -F key=software-installer

Debes existir las reglas.

Eliminar la reglas.

mv /etc/audit/rules.d/44-installers.rules ~/44-installers.rules

Reiniciar el servicio (recuerde utilizar service).
```
service auditd restart
```

Listar las reglas cargadas.

auditctl -l

Salida puede ser:

No rules

ó

-w /etc/ssh/sshd_config -p rwxa -k sshd_config