审计设置建议

Question

需要明确的是，auditd 是一种非常有用的工具，但它不会让您的系统更安全。它的作用是为您提供有关某些活动的更详细日志记录。仍然需要有人查看生成的日志。就像树一样，如果某个活动受到监控，但没有人在看，日志还有意义吗？

最简单的，我使用了下面的方法/etc/audit/audit.rules。每当 setrlimit 或 stime 系统调用退出时，以及每当删除目录时，它都会抛出一个日志。

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

-e 1

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024

# Feel free to add below this line. See auditctl man page
-a exit,always -S unlink -S rmdir
-a exit,always -S stime.*
-a exit,always -S setrlimit.*

有关更多深入示例，请查看 CIS 基准RHEL 5.1-5.2。不幸的是，没有适用于 Ubuntu 的版本，而适用于 Debian 的版本已有好几年了。但是，该部分中不应该有任何特定于发行版的内容。

Answer 1

需要明确的是，auditd 是一种非常有用的工具，但它不会让您的系统更安全。它的作用是为您提供有关某些活动的更详细日志记录。仍然需要有人查看生成的日志。就像树一样，如果某个活动受到监控，但没有人在看，日志还有意义吗？

最简单的，我使用了下面的方法/etc/audit/audit.rules。每当 setrlimit 或 stime 系统调用退出时，以及每当删除目录时，它都会抛出一个日志。

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

-e 1

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024

# Feel free to add below this line. See auditctl man page
-a exit,always -S unlink -S rmdir
-a exit,always -S stime.*
-a exit,always -S setrlimit.*

有关更多深入示例，请查看 CIS 基准RHEL 5.1-5.2。不幸的是，没有适用于 Ubuntu 的版本，而适用于 Debian 的版本已有好几年了。但是，该部分中不应该有任何特定于发行版的内容。

审计设置建议

答案1

相关内容