我是配置审计系统的新手。我有一些任务,例如
configure audit system to audit failed attempts to access files and programs.
configure audit system to audit files and programs deleted by user...
...
我对这些任务感到很困惑。有人可以提供一些教程或参考链接吗?这样我就能清楚什么是审计?
如何配置审计系统?
多谢!
答案1
请注意,这是从 Solaris 的角度编写的,但它仍然适用于 Linux,但一些命令和配置会有所不同 - 但总体原则是相同的。
第一步是启用审计,通过运行/etc/security/bsmconv并回答y问题来完成,然后重新启动以加载审计所需的内核模块。
下一步是配置应审核的内容,该操作在 中完成/etc/security/audit_control。其中列出了应审核的事件类别,由于您没有提供完整列表,因此我将粗略估计您可能需要的内容:
flags:lo,ex,fm,fd,ad
naflags:na,lo,ad
这将审计登录和注销事件、执行、文件修改和删除以及管理事件。完整的审计类别列表可在 中找到/etc/security/audit_class。应配置哪些类别取决于贵公司的安全策略,因此请务必查看它。
最后,使用 告诉审计守护进程加载您刚刚所做的更改audit -s。这将生成一个审计跟踪,/var/audit可以使用 命令对其进行搜索和排序auditreduce,然后通过 命令将其转换为人类可读的格式praudit。
您还应该配置日志轮换(在 cron 中)以audit -n防止审计文件变得太大。
答案2
在这种情况下,他们使用“审计”一词来表示检测此行为的能力。我确信检测此行为的唯一方法是使用内核模块。可能已经写了一个,但我不知道。