我正在尝试了解如何保护 Linux 机器(我使用的是 Ubuntu)。建议使用 Auditd 来监控节点上的活动。我已经成功安装了它,但我找不到太多有关如何正确设置以保护我的节点的信息。
我应该如何设置 auditd 以使我的节点更安全?我应该监控什么?为什么?我正在寻找经验丰富的管理员的设置示例和建议。
谢谢!
答案1
需要明确的是,auditd 是一种非常有用的工具,但它不会让您的系统更安全。它的作用是为您提供有关某些活动的更详细日志记录。仍然需要有人查看生成的日志。就像树一样,如果某个活动受到监控,但没有人在看,日志还有意义吗?
最简单的,我使用了下面的方法/etc/audit/audit.rules
。每当 setrlimit 或 stime 系统调用退出时,以及每当删除目录时,它都会抛出一个日志。
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
-e 1
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024
# Feel free to add below this line. See auditctl man page
-a exit,always -S unlink -S rmdir
-a exit,always -S stime.*
-a exit,always -S setrlimit.*
有关更多深入示例,请查看 CIS 基准RHEL 5.1-5.2。不幸的是,没有适用于 Ubuntu 的版本,而适用于 Debian 的版本已有好几年了。但是,该部分中不应该有任何特定于发行版的内容。