第16章  安全事件审计

目录
16.1 概述
16.2 您需要了解的一些关键术语
16.3 安装审计支持
16.4 对审计进行配置
16.5 管理事件审计
原作 Tom Rhodes.

16.1 概述

  在 FreeBSD 7-CURRENT 开发分支上包含了对于基于 POSIX®.1e 草案, Sun 所发布的 BSM API 及文件格式的时间审计支持。 事件审计功能, 使得选择性地对涉及安全的系统事件进行记录成为可能, 这可进一步为出现问题之后的验尸式分析、 系统监控, 以及入侵检测所用。 经过在 FreeBSD 7-CURRENT 中一段时间的沉淀之后, 这一支持将被合并到 FreeBSD 6-STABLE 并出现在之后的发行版中。

警告: FreeBSD 中的审计机制目前还是试验性的, 只有在仔细考量部署风险之后, 才应在生产系统上部署这一试验性的软件。

  这一章将主要关注与安装和配置事件审计机制。 同时, 为了方便读者, 也介绍了审计策略, 并给出了一个实例加以说明。

  读完这章, 您将了解:

  阅读这章之前, 您应该:

警告: 事件审计可能会产生大量的日志文件数据, 在某些配置中, 可能每周都会产生超过数 GB 的数据。 管理员应完整地阅读完这一章的内容, 以避免由于不当配置产生的自作自受型 DoS

  在 FreeBSD 中的事件审计机制, 与 Sun™ 的基本安全模块, 即 BSM 库类似。 因此, 这些配置与 Solaris™ 和 Mac OS X/Darwin 操作系统之间可以完全互换。

本文档和其它文档可从这里下载:ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读文档,如不能解决再联系<[email protected]>.
关于本文档的问题请发信联系 <[email protected]>.