我是configuration审计系统的新手。 我有一些任务,如
configure audit system to audit failed attempts to access files and programs. configure audit system to audit files and programs deleted by user... ...
我对这些任务很困惑。 任何人都可以提供一些教程或参考链接? 这样我才能清楚地知道什么是审计?
如何configuration审计系统?
非常感谢!
请注意,这是从Solaris的angular度来编写的,但它仍然适用于Linux,但是一些命令和configuration将有所不同 – 一般原则是相同的。
第一步是启用审计,这是通过运行/etc/security/bsmconv
并回答y
来完成的,然后重新启动以加载审计所需的内核模块。
下一步是configuration你应该审计的内容,这是在/etc/security/audit_control
。 在那里列出应该审计的事件类别,由于您没有提供完整的列表,我会粗略地估计一下您可能需要的内容:
flags:lo,ex,fm,fd,ad naflags:na,lo,ad
这将审计login和注销事件,执行,文件修改和删除,以及pipe理事件。 审计类的完整列表可以在/etc/security/audit_class
。 应该configuration哪些类别取决于贵公司的安全策略,因此请务必对其进行检查。
最后告诉审计守护进程使用audit -s
来加载刚才所做的更改。 这将在/var/audit
生成一个审计跟踪,它可以使用auditreduce
命令进行search,然后通过praudit
命令将其转换为可读格式。
您还应该使用audit -n
configuration日志轮转(在cron中)以防止审计文件变得太大。
在这种情况下,他们使用“审计”一词作为检测此行为的能力。 我很确定检测这种行为的唯一方法是使用内核模块。 也许有一个已经写了,但我不知道一个。