Я новичок в настройке системы аудита. И у меня есть такие задачи, как
configure audit system to audit failed attempts to access files and programs.
configure audit system to audit files and programs deleted by user...
...
Я очень запутался в задачах. Может ли кто-нибудь предоставить учебные или справочные ссылки? Чтобы я мог понять, что такое аудит?
Как настроить систему аудита?
Большое спасибо!
Обратите внимание, что это написано с точки зрения Solaris, но все еще применимо к Linux, но некоторые команды и конфигурации будут отличаться - хотя общий принцип тот же.
Первый шаг - включить аудит, который выполняется запуском /etc/security/bsmconv и отвечая y на вопрос, а затем перезагрузитесь, чтобы загрузить модуль ядра, необходимый для проведения аудита.
Следующим шагом является настройка того, что вы должны проверять, что выполняется в /etc/security/audit_control. Там вы перечисляете классы событий, которые следует проверять, и, поскольку вы не предоставили полный список, я дам вам приблизительную оценку того, что вам может понадобиться:
flags:lo,ex,fm,fd,ad
naflags:na,lo,ad
Это будет контролировать события входа и выхода, выполнения, изменения и удаления файлов, а также административные события. Полный список классов аудита можно найти в /etc/security/audit_class. Какие классы следует настроить, определяется политикой безопасности вашей компании, поэтому обязательно ознакомьтесь с ней.
Наконец, скажите демону аудита загрузить изменения, которые вы только что внесли, используя audit -s. Это создаст контрольный журнал в /var/audit который можно искать в сортировке с помощью auditreduce команда, а затем переведена в удобочитаемый формат praudit команда.
Вы также должны настроить ротацию журналов (в cron), используя audit -n чтобы файл аудита не стал слишком большим.
В этом случае они используют слово «аудит» как способность обнаружить такое поведение. Я почти уверен, что единственный способ обнаружить это поведение - использовать модуль ядра. Возможно, один из них уже написан, но я не знаю такого.