审计设置建议

审计设置建议

我正在尝试了解如何保护 Linux 机器(我使用的是 Ubuntu)。建议使用 Auditd 来监控节点上的活动。我已经成功安装了它,但我找不到太多有关如何正确设置以保护我的节点的信息。

我应该如何设置 auditd 以使我的节点更安全?我应该监控什么?为什么?我正在寻找经验丰富的管理员的设置示例和建议。

谢谢!

答案1

需要明确的是,auditd 是一种非常有用的工具,但它不会让您的系统更安全。它的作用是为您提供有关某些活动的更详细日志记录。仍然需要有人查看生成的日志。就像树一样,如果某个活动受到监控,但没有人在看,日志还有意义吗?

最简单的,我使用了下面的方法/etc/audit/audit.rules。每当 setrlimit 或 stime 系统调用退出时,以及每当删除目录时,它都会抛出一个日志。

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

-e 1

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024

# Feel free to add below this line. See auditctl man page
-a exit,always -S unlink -S rmdir
-a exit,always -S stime.*
-a exit,always -S setrlimit.*

有关更多深入示例,请查看 CIS 基准RHEL 5.1-5.2。不幸的是,没有适用于 Ubuntu 的版本,而适用于 Debian 的版本已有好几年了。但是,该部分中不应该有任何特定于发行版的内容。

相关内容