Uitstekend, ik help je graag bij het opzetten van een geavanceerd auditing-systeem op je Ubuntu 22.04 server voor diepgaande beveiligingsanalyse en incidentdetectie. Hieronder vind je een uitgebreide gids met aanbevelingen, configuratietips en best practices. ### 1. Huidige situatie en doelen - **Distributie:** Ubuntu 22.04 - **Huidige auditconfiguratie:** Standaard auditd, geen aangepaste regels - **Beveiligingsdoelen:** - Detectie van ongeautoriseerde root login pogingen - Dagelijkse rapportages --- ### 2. Aanbevolen audit toolset en componenten - **auditd:** De kern voor auditing op Linux - **aureport:** Voor het genereren van overzichtsrapporten - **ausearch:** Voor het zoeken en analyseren van audit logs - **augenrules:** Voor het beheren van auditregels - **syslog/rsyslog:** Voor logmanagement en rapportage --- ### 3. Stap-voor-stap configuratie #### a. Installeer en configureer auditd ```bash sudo apt update sudo apt install auditd auditsystem ``` Standaard is auditd actief, maar controleer de status: ```bash sudo systemctl status auditd ``` #### b. Pas auditregels aan voor root login pogingen Voeg regels toe om SSH en su/sudo activiteiten te monitoren: **Maak of bewerk de regels in `/etc/audit/rules.d/99-root-logins.rules`:** ```bash # Monitor alle su en sudo commando's -w /usr/bin/sudo -p x -k sudo_usage -w /bin/su -p x -k su_usage # Monitor SSH login attempts (auth.log wordt gebruikt voor authenticatie) -w /var/log/auth.log -p wa -k auth_log ``` **Voor het detecteren van root login pogingen:** ```bash # Monitor SSH login attempts, vooral voor root -w /var/log/auth.log -p wa -k ssh_login ``` Na het toevoegen van regels, herlaad de auditregels: ```bash sudo augenrules --load ``` #### c. Detectie van ongeautoriseerde root login pogingen Gebruik `ausearch` en `aureport` om rapportages te maken: ```bash # Zoek naar root login pogingen ausearch -k ssh_login | aureport -f -ts today ``` ### 4. Rapportage automatiseren (Dagelijks) Gebruik `cron` om dagelijks rapporten te genereren en te versturen. **Maak een script `/usr/local/bin/daily_audit_report.sh`:** ```bash #!/bin/bash DATE=$(date '+%Y-%m-%d') REPORT_DIR="/var/log/audit_reports" mkdir -p "$REPORT_DIR" # Genereer rapporten aureport -f > "$REPORT_DIR/failure_report_$DATE.txt" ausearch -k ssh_login --success | aureport -f -ts today > "$REPORT_DIR/ssh_login_report_$DATE.txt" # Optioneel: verstuur rapport via e-mail # mail -s "Audit Rapport $DATE" admin@jouwdomein.nl < "$REPORT_DIR/failure_report_$DATE.txt" ``` Maak het script uitvoerbaar: ```bash sudo chmod +x /usr/local/bin/daily_audit_report.sh ``` **Plan de cron-job:** ```bash sudo crontab -e ``` Voeg toe: ```cron 0 8 * * * /usr/local/bin/daily_audit_report.sh ``` Dit zorgt ervoor dat het rapport dagelijks om 8:00 uur wordt gegenereerd. --- ### 5. Best practices voor een effectief auditproces - **Regelmatige controle:** Controleer dagelijks de rapporten en installeer automatische alerts voor verdachte activiteiten. - **Aangepaste regels:** Voeg specifieke regels toe voor kritieke bestanden, configuraties en processen. - **Logintegriteit:** Bewaar auditlogs op een veilige en niet-veranderbare locatie. - **Automatisering:** Gebruik scripts en monitoringtools om afwijkingen snel te detecteren. - **Integratie met SIEM:** Overweeg integratie met Security Information and Event Management (SIEM) systemen voor geavanceerde analyse. - **Updates en patches:** Houd het systeem en de auditregels up-to-date met de nieuwste beveiligingsrichtlijnen. --- ### 6. Overige aanbevolen tools - **OSSEC:** Host-based intrusion detection system - **Fail2Ban:** Voorkomt brute-force aanvallen - **AIDE:** File-integriteit bewaking - **Sysmon (via sysstat):** Gedetailleerde systeemmonitoring --- ### Samenvatting Door deze stappen te volgen, zet je een geavanceerd, automatiserend audit- en detectiesysteem op dat je in staat stelt om ongeautoriseerde root login pogingen en andere verdachte activiteiten effectief te monitoren en rapporteren. Blijf je regels en procedures regelmatig aanpassen en verbeteren op basis van nieuwe dreigingen en bevindingen. --- Heeft u verdere vragen of specifieke wensen, dan help ik u graag verder!

Hier is een stapsgewijze handleiding voor het opzetten van een geavanceerd audit-systeem op uw Ubuntu 22.04 server: ## 1. Auditd Basisconfiguratie ### Installatie en status controle ```bash sudo apt update sudo apt install auditd audispd-plugins sudo systemctl enable auditd sudo systemctl start auditd ``` ### Basis auditd.conf configuratie ```bash sudo nano /etc/audit/auditd.conf ``` Aanbevolen instellingen: ```ini log_file = /var/log/audit/audit.log log_format = RAW log_group = adm priority_boost = 4 flush = INCREMENTAL freq = 20 num_logs = 5 disp_qos = lossy dispatcher = /sbin/audispd name_format = NONE max_log_file = 50 max_log_file_action = ROTATE space_left = 100 space_left_action = SYSLOG action_mail_acct = root admin_space_left = 50 admin_space_left_action = SUSPEND disk_full_action = SUSPEND disk_error_action = SUSPEND ``` ## 2. Aangepaste Audit Regels ### Root login detectie regels ```bash sudo nano /etc/audit/rules.d/audit.rules ``` Voeg deze regels toe: ```bash # Root login pogingen monitoring -a always,exit -F arch=b64 -S execve -F euid=0 -k root_access -a always,exit -F arch=b32 -S execve -F euid=0 -k root_access # SSH en login monitoring -w /var/log/auth.log -p wa -k authentication -w /var/log/secure -p wa -k authentication -w /etc/ssh/sshd_config -p wa -k ssh_config # Sudo gebruik monitoring -w /etc/sudoers -p wa -k sudoers -w /etc/sudoers.d -p wa -k sudoers # Kritieke systeem bestanden -w /etc/passwd -p wa -k identity -w /etc/group -p wa -k identity -w /etc/shadow -p wa -k identity # Proces monitoring -a always,exit -F arch=b64 -S execve -k process_execution -a always,exit -F arch=b32 -S execve -k process_execution # Netwerk connecties -a always,exit -F arch=b64 -S bind -k network_bind -a always,exit -F arch=b64 -S connect -k network_connect ``` ### Regels toepassen ```bash sudo auditctl -R /etc/audit/rules.d/audit.rules sudo systemctl restart auditd ``` ## 3. Geavanceerde Tools en Plugins ### Auditd management tools installeren ```bash sudo apt install audit-viewer ``` ### Ausearch en aureport voor dagelijkse rapportage ```bash # Dagelijkse root login pogingen rapport sudo ausearch -k root_access -ts today | aureport -au -i # Dagelijkse authenticatie rapport sudo aureport -au -i --start today # Proces executie rapport sudo ausearch -k process_execution -ts today | aureport -p -i ``` ## 4. Dagelijkse Automatische Rapportage ### Maak een dagelijks script ```bash sudo nano /usr/local/bin/daily_audit_report.sh ``` ```bash #!/bin/bash DATE=$(date +%Y-%m-%d) REPORT_DIR="/var/log/audit/reports" mkdir -p $REPORT_DIR # Genereer dagelijkse rapporten { echo "=== DAGELIJKS AUDIT RAPPORT - $DATE ===" echo "" echo "1. ROOT ACCESS POGINGEN:" ausearch -k root_access -ts $DATE 00:00:00 | aureport -au -i echo "" echo "2. AUTHENTICATIE EVENTS:" aureport -au -i --start $DATE echo "" echo "3. VERDENKELIJKE PROCESSEN:" ausearch -k process_execution -ts $DATE 00:00:00 | aureport -p -i echo "" echo "4. NETWERK ACTIVITEIT:" ausearch -k network_connect -ts $DATE 00:00:00 | aureport -s -i } > $REPORT_DIR/audit_report_$DATE.txt # Verstuur email (vereist geconfigureerde mail) # mail -s "Dagelijkse Audit Report - $DATE" root < $REPORT_DIR/audit_report_$DATE.txt ``` ### Maak het script uitvoerbaar ```bash sudo chmod +x /usr/local/bin/daily_audit_report.sh ``` ### Cron job voor dagelijkse uitvoering ```bash sudo crontab -e ``` Voeg toe: ```bash 0 6 * * * /usr/local/bin/daily_audit_report.sh ``` ## 5. Best Practices en Monitoring ### Real-time monitoring ```bash # Live monitoring van audit events sudo tail -f /var/log/audit/audit.log # Specifieke key monitoring sudo ausearch -k root_access --raw | audit2allow ``` ### Audit regel validatie ```bash # Controleer actieve regels sudo auditctl -l # Test configuratie sudo auditctl -s ``` ### Log retentie en beheer ```bash # Configureer logrotate voor audit logs sudo nano /etc/logrotate.d/audit ``` ```bash /var/log/audit/audit.log { weekly rotate 4 compress delaycompress notifempty postrotate /usr/bin/systemctl reload auditd > /dev/null 2>&1 || true endscript } ``` ## 6. Geavanceerde Analyse Tools ### Extra security tools ```bash sudo apt install lynis ossec-hids # Systeem security scan sudo lynis audit system ``` ### Custom alerts voor kritieke events ```bash # Maak een alert script voor directe notificaties sudo nano /usr/local/bin/audit_alert.sh ``` ## 7. Monitoring en Onderhoud ### Regelmatige controles - Controleer audit log grootte dagelijks - Monitor disk space voor audit logs - Review dagelijkse rapporten op verdachte activiteiten - Update audit regels bij systeem wijzigingen ### Performance optimalisatie ```bash # Monitor audit impact sudo auditctl -s | grep backlog ``` Dit systeem biedt uitgebreide monitoring van root toegang, authenticatie pogingen en systeem activiteiten met dagelijkse rapportage voor effectieve beveiligingsanalyse en incident detectie.