所有用于安全审计的配置文件, 都可以在 /etc/security 找到。 要启动审计服务, 下面这些文件必须存在:
audit_class - 包含对于审计类的定义。
audit_control - 控制审计子系统的特性, 例如默认审计类、 在审计日志所在的卷上保留的最小空间, 等等。
audit_event - 定义内核审计事件。 它们多数都对应于某些系统调用。
audit_user - 针对特定用户进行的事件审计。 没有在此处指定的用户, 则按控制配置文件中的默认配置处理。
audit_warn - 由 auditd 调用, 用于在意外情况, 如用于记录审计事件的空间过低时发出警告的 shell 脚本。
配置文件的语法看上去可能有点怪异, 尽管用起来会很容易。 管理员必须非常谨慎的一件事是改变系统的默认值, 因为这样做可能会造成潜在的无法正确收集审计数据的问题。
审计子系统能够同时接受配置语法中的长短名字。 接下来, 我们将给出语法表。
下面是所支持的全部审计类:
all - all -
设置全部审计标志。
ad - administrative -
所有在系统上所进行的管理性操作。
ap - application -
应用程序定义的动作。
cl - file_close - 审计对 close 系统调用的操作。
ex - exec -
审计程序或实用工具的执行。
fa - file_attr_acc -
审计访问对象属性, 例如 stat(1)、 pathconf(2)
以及类似事件。
fc - file_creation -
审计创建了文件的事件。
fd - file_deletion -
审计所发生的文件删除事件。
fm - file_attr_mod -
审计文件属性发生变化的事件, 例如 chown(8)、 chflags(1)、 flock(2), 等等。
fr - file_read - 审计读取数据、
文件以读方式打开等事件。
fw - file_write - 审计写入数据、
文件以写方式打开等事件。
io - ioctl - 审计对 ioctl(2)
系统调用的使用。
ip - ipc -
审计各种形式的进程间通信 (IPC), 包括 POSIX 管道和 System V IPC 操作。
na - non_attrib -
审计无法归类的事件。
no - no_class - 空类,
用于禁用事件审计。
nt - network -
与网络操作有关的事件, 例如 connect(2) 和 accept(2)。
ot - other -
审计各类杂项事件。
下面是全部支持的审计前缀:
none - 同时审计事件的成功和失败。 例如, 秩序列出一个事件类就可以同时审计其成功或失败。
+ - 只审计成功事件。
- - 只审计失败事件。
警告: 使用
all类, 无论是正还是负号作为前缀, 都会以极快的速度产生大量的数据。
其他用于改变默认配置值得前缀:
^- - 禁用对于失败事件的审计。
^+ - 启用对于成功事件的审计。
^ - 同时禁用成功和失败事件的审计。
多数情况下, 在配置审计系统时, 管理员只需修改两个文件: audit_control 和 audit_user。 第一个文件控制系统级的审计参数, 以及所有有主或无主事件的默认参数。 第二个文件用于调整针对具体用户的审计级别和性质。
audit_control 文件包含了一些基本的默认值, 管理员通常会希望加以修改, 有时甚至是设置一些新的配置。 察看这个文件的内容, 我们会发现:
dir:/var/audit flags:lo minfree:20 naflags:lo
这里的 dir 用于设置审计日志的默认存放目录。
审计通常都会配置为保存在一个专用的文件系统之下,
以避免审计系统与其它子系统在文件系统满的时候所产生的冲突。
flags 选项则用来设置系统级的默认。 目前的设置, 即
lo 配置审计所有的 login(1) 和 logout(1) 动作。
而更为复杂的例子, lo,ad,-all,^-fa,^-fc,^-cl
表示审计所有的系统 login(1) 和 logout(1) 动作、
所有管理动作, 以及所有系统中失败的动作, 但最后禁用对 fa、
fc, 以及 cl 的失败常是。 尽管
-all 会打开所有事件的失败常是, 但之后的选项中的 ^- 前缀则会改变相应的设置。
请注意前一节也说明了配置是从左到右读取的。 同样地, 较为靠右的值可以替代靠左的值所设定的默认。
minfree 参数定义了用于审计的文件系统上,
剩余空间的最小值。 这一百分比值是相对于保存审计日志的文件系统来计算的。 例如, 如果 dir 指定了 /var/audit 而 minfree 设为两成 (20), 则当 /var
文件系统有八成 (80) 空间被填满时将会给出警告消息。
naflags 参数用于指定无主事件 ──
也就是那些并不与特定用户关联的事件的审计。
audit_user 文件允许管理员决定哪些系统用户所产生的哪些类的事件应被记录在案。
下面是 audit_user 文件中的一些默认值:
root:lo:no audit:fc:no
注意默认值将审计所有的 login/logout 事件, 而禁止审计所有其他由 root 完成的动作。 这一配置也会审计所有文件创建操作, 并禁止所有其他由 audit 用户完成的操作。 尽管事件审计并不依赖特殊的用户才能正常工作, 某些配置, 特别是使用了 MAC 的环境中, 却可能需要这个用户存在。
本文档和其它文档可从这里下载:ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
如果对于FreeBSD有问题,请先阅读文档,如不能解决再联系<[email protected]>.
关于本文档的问题请发信联系 <[email protected]>.