Вопрос: Предложение по настройке аудита


Я пытаюсь узнать о защите Linux-ящика (я использую Ubuntu). Auditd рекомендуется для мониторинга действий на узле. Мне удалось установить его, но я не могу найти много информации о правильной настройке для защиты моего узла.

Как настроить аудиту, чтобы сделать мой узел более безопасным? Что я должен контролировать? Зачем? Я ищу примеры настройки и рекомендации опытных администраторов.

Благодаря!


6
2018-03-05 18:32


Источник




Ответы:


Чтобы быть ясным, auditd - бесценный инструмент, но он не сделает вашу систему более безопасной. Что он будет делать, это дает вам гораздо более подробные сведения о некоторых видах деятельности. Кому-то все равно нужно будет просмотреть созданные журналы. Подобно дереву, если активность контролируется, но никто не наблюдает, не имеют ли значения журналы?

В самом простом, я использовал следующее для /etc/audit/audit.rules, Он будет генерировать журнал всякий раз, когда система setrlimit или stime вызывает exit, а также всякий раз, когда каталог удаляется.

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

-e 1

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024

# Feel free to add below this line. See auditctl man page
-a exit,always -S unlink -S rmdir
-a exit,always -S stime.*
-a exit,always -S setrlimit.*

Для более подробных примеров ознакомьтесь с контрольным знаком CIS для RHEL 5.1-5.2, К сожалению, для Ubuntu нет никого, а для Debian - несколько лет. Однако в этом разделе не должно быть ничего, что связано с дистрибуцией.


4
2018-03-05 21:38