Linux

審計設置建議

  • April 24, 2011

我正在嘗試了解如何保護 Linux 機器(我使用的是 Ubuntu)。建議使用 Auditd 來監控節點上的活動。我已經設法安裝它,但我找不到太多關於正確設置以保護我的節點的資訊。

我應該如何設置 auditd 以使我的節點更安全?我應該監控什麼?為什麼?我正在尋找經驗豐富的管理員提供的設置範例和建議。

謝謝!

需要明確的是,auditd 是一個非常寶貴的工具,但它不會使您的系統更安全。它將做的是為您提供有關某些活動的更詳細的日誌記錄。仍然需要有人查看生成的日誌。就像樹一樣,如果監控了一項活動,但沒有人在看,那麼日誌重要嗎?

在最簡單的情況下,我將以下內容用於/etc/audit/audit.rules. 每當 setrlimit 或 stime 系統呼叫退出時,以及目錄被刪除時,它都會拋出一個日誌。

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

-e 1

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024

# Feel free to add below this line. See auditctl man page
-a exit,always -S unlink -S rmdir
-a exit,always -S stime.*
-a exit,always -S setrlimit.*

有關更深入的範例,請查看RHEL 5.1-5.2的 CIS 基準。不幸的是,沒有一個適用於 Ubuntu 的,而適用於 Debian 的那個已經有好幾年了。但是,該部分中不應該有任何特定於分發的內容。

引用自:https://serverfault.com/questions/243662