審計設置建議

我正在嘗試了解如何保護 Linux 機器（我使用的是 Ubuntu）。建議使用 Auditd 來監控節點上的活動。我已經設法安裝它，但我找不到太多關於正確設置以保護我的節點的資訊。

我應該如何設置 auditd 以使我的節點更安全？我應該監控什麼？為什麼？我正在尋找經驗豐富的管理員提供的設置範例和建議。

謝謝！

需要明確的是，auditd 是一個非常寶貴的工具，但它不會使您的系統更安全。它將做的是為您提供有關某些活動的更詳細的日誌記錄。仍然需要有人查看生成的日誌。就像樹一樣，如果監控了一項活動，但沒有人在看，那麼日誌重要嗎？

在最簡單的情況下，我將以下內容用於/etc/audit/audit.rules. 每當 setrlimit 或 stime 系統呼叫退出時，以及目錄被刪除時，它都會拋出一個日誌。

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

-e 1

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024

# Feel free to add below this line. See auditctl man page
-a exit,always -S unlink -S rmdir
-a exit,always -S stime.*
-a exit,always -S setrlimit.*

有關更深入的範例，請查看RHEL 5.1-5.2的 CIS 基準。不幸的是，沒有一個適用於 Ubuntu 的，而適用於 Debian 的那個已經有好幾年了。但是，該部分中不應該有任何特定於分發的內容。

引用自：https://serverfault.com/questions/243662