Я пытаюсь узнать о защите Linux-сервера (я использую Ubuntu). Auditd рекомендуется для мониторинга активности на узле. Мне удалось установить его, но я не могу найти много информации о правильной настройке для защиты моего узла.
Как мне настроить auditd, чтобы сделать мой узел более безопасным? Что я должен контролировать? Зачем? Ищу примеры настройки и рекомендации опытных администраторов.
Спасибо!
Чтобы быть ясным, auditd - бесценный инструмент, но он не сделает вашу систему более безопасной. Что он сделает, так это предоставит вам более подробный журнал определенных действий. Кому-то еще нужно будет просмотреть сгенерированные журналы. Как и в случае с деревом, если деятельность отслеживается, но никто не наблюдает, имеют ли журналы значение?
В простейшем случае я использовал следующее для /etc/audit/audit.rules. Он будет создавать журнал при выходе из системных вызовов setrlimit или stime, а также при удалении каталога.
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
-e 1
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024
# Feel free to add below this line. See auditctl man page
-a exit,always -S unlink -S rmdir
-a exit,always -S stime.*
-a exit,always -S setrlimit.*
Для получения более подробных примеров ознакомьтесь с CIS Benchmark для RHEL 5.1-5.2. К сожалению, для Ubuntu его нет, а для Debian уже несколько лет. Однако в этом разделе не должно быть ничего специфичного для дистрибутива.