Предложение по настройке аудита

Question

Предложение по настройке аудита

Я пытаюсь узнать о защите Linux-бокса (я использую Ubuntu). Auditd рекомендуется для мониторинга действий на узле. Мне удалось установить его, но я не могу найти много информации о правильной настройке для защиты моего узла.

Как мне настроить audd, чтобы сделать мой узел более безопасным? Что я должен контролировать? Зачем? Я ищу примеры настройки и рекомендации от опытных администраторов.

Спасибо!

6

linux ubuntu security auditd

Источник

Jérôme Verstrynge 05 мар '11 в 18:32

1 ответ

Решение

Другие вопросы по тегам linux ubuntu security auditd

Scott Pack 05 мар '11 в 21:38 2011-03-05 21:38 · Accepted Answer · 2011-03-05 21:38

Просто чтобы быть понятным, audd - бесценный инструмент, но он не сделает вашу систему более безопасной. Что он сделает, так это предоставит вам гораздо более подробную информацию о некоторых действиях. Кто-то все еще должен будет просмотреть созданные журналы. Так же, как дерево, если активность отслеживается, но никто не наблюдает, имеют ли значение журналы?

Самое простое, я использовал следующее для /etc/audit/audit.rules, Он будет выдавать журнал всякий раз, когда системные вызовы setrlimit или stime вызывают exit, а также всякий раз, когда каталог удаляется.

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

-e 1

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024

# Feel free to add below this line. See auditctl man page
-a exit,always -S unlink -S rmdir
-a exit,always -S stime.*
-a exit,always -S setrlimit.*

Более подробные примеры можно найти в Benchmark CIS для RHEL 5.1-5.2. К сожалению, для Ubuntu такого нет, а для Debian - несколько лет. Однако в этом разделе не должно быть ничего конкретного дистрибутива.