17.4 对审计进行配置

  所有用于安全审计的配置文件, 都可以在 /etc/security 找到。 要启动审计服务, 下面这些文件必须存在:

警告: 在编辑和维护审计配置文件时一定要小心, 因为配置文件中的错误会导致记录事件不正确。

17.4.1 事件筛选表达式

  在审计配置文件中的许多地方会用到筛选表达式来确定哪些事件是需要审计的。 表达式中需要指定要匹配的事件类型, 并使用前缀指定是否应接受或忽略匹配的事件, 此外, 还可以指定一个可选项指明匹配成功或失败的操作。 选择表达式是按从左到右的顺序计算的, 而对于两个表达式的情形, 则是通过将后一个追加到前一个之后来实现的。

  下面列出了在 audit_class 中的默认事件类型:

  这些审计事件, 可以通过修改 audit_classaudit_event 这两个配置文件来进行定制。

  这个列表中, 每个审计类均包含一个表示匹配成功/失败操作的前缀, 以及这一项是否是增加或删去对事件类或类型的匹配。

  下面例子中的筛选字符串表示筛选成功和失败的登录/注销事件, 而对执行事件, 则只审计成功的:

lo,+ex

17.4.2 配置文件

  多数情况下, 在配置审计系统时, 管理员只需修改两个文件: audit_controlaudit_user。 前者控制系统级的审计属性和策略, 而后者则用于针对具体的用户来微调。

17.4.2.1 audit_control 文件

  audit_control 文件指定了一系列用于审计子系统的默认设置。 通过查看这个文件, 我们可以看到下面的内容:

dir:/var/audit
flags:lo
minfree:20
naflags:lo
policy:cnt
filesz:0

  这里的 dir 选项可以用来设置用于保存审计日志的一个或多个目录。 如果指定了多个目录, 则将在填满一个之后换用下一个。 一般而言, 审计通常都会配置为保存在一个专用的文件系统之下, 以避免审计系统与其它子系统在文件系统满的时候所产生的冲突。

  flags 字段用于为有主事件配置系统级的预选条件。 在前面的例子中, 所有用户成功和失败的登录和注销都会被审计。

  minfree 参数用于定义保存审计日志的文件系统上剩余空间的最小百分比。 当超过这一阈值时, 将产生一个警告。 前面的例子中, 最小剩余空间比例设置成了两成。

  naflags 选项表示审计类审计无主事件, 例如作为登录进程和系统服务的那些进程的事件。

  policy 选项用于指定一个以逗号分隔的策略标志表, 以控制一系列审计行为。 默认的 cnt 标志表示系统应在审计失败时继续运行 (强烈建议使用这个标志)。 另一个常用的标志是 argv, 它表示在审计命令执行操作时, 同时审计传给 execve(2) 系统调用的命令行参数。

  filesz 选项指明了审计日志在自动停止记录和翻转之前允许的最大尺寸。 默认值 0 表示禁用自动日志翻转。 如果配置的值不是零, 但小于最小值 512k, 则这个配置会被忽略, 并在日志中记录这一消息。

17.4.2.2 audit_user 文件

  audit_user 文件允许管理员为特定用户指定进一步的审计需求。 每一行使用两个字段来配置用户的审计: 第一个是 alwaysaudit 字段, 它指明了一组对该用户总会进行审计的事件; 而第二个则是 neveraudit 字段, 它指明了一系列对该用户不审计的事件。

  在下述 audit_user 示例文件中, 审计了 root 用户的 登录/注销 事件, 以及成功的命令执行事件, 此外, 还审计了 www 用户的文件创建和成功的命令执行事件。 如果与前面的示范 audit_control 文件配合使用, 则 rootlo 项就是多余的, 而对 www 用户而言, 其登录/注销事件也会被审计:

root:lo,+ex:no
www:fc,+ex:no

积木 服务邮箱:Info(#)Gimoo.Net 推荐:技术手册 感谢“笑虎”技术支持
Copyright © 2008 Gimoo.NetInc. all rights reserved 京ICP备05050695号