Linux
審計設置建議
我正在嘗試了解如何保護 Linux 機器(我使用的是 Ubuntu)。建議使用 Auditd 來監控節點上的活動。我已經設法安裝它,但我找不到太多關於正確設置以保護我的節點的資訊。
我應該如何設置 auditd 以使我的節點更安全?我應該監控什麼?為什麼?我正在尋找經驗豐富的管理員提供的設置範例和建議。
謝謝!
需要明確的是,auditd 是一個非常寶貴的工具,但它不會使您的系統更安全。它將做的是為您提供有關某些活動的更詳細的日誌記錄。仍然需要有人查看生成的日誌。就像樹一樣,如果監控了一項活動,但沒有人在看,那麼日誌重要嗎?
在最簡單的情況下,我將以下內容用於
/etc/audit/audit.rules
. 每當 setrlimit 或 stime 系統呼叫退出時,以及目錄被刪除時,它都會拋出一個日誌。# This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the initscripts. # The rules are simply the parameters that would be passed # to auditctl. # First rule - delete all -D -e 1 # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 1024 # Feel free to add below this line. See auditctl man page -a exit,always -S unlink -S rmdir -a exit,always -S stime.* -a exit,always -S setrlimit.*
有關更深入的範例,請查看RHEL 5.1-5.2的 CIS 基準。不幸的是,沒有一個適用於 Ubuntu 的,而適用於 Debian 的那個已經有好幾年了。但是,該部分中不應該有任何特定於分發的內容。