16.4 对审计进行配置

  所有用于安全审计的配置文件, 都可以在 /etc/security 找到。 要启动审计服务, 下面这些文件必须存在:

16.4.1 审计文件的语法

  配置文件的语法看上去可能有点怪异, 尽管用起来会很容易。 管理员必须非常谨慎的一件事是改变系统的默认值, 因为这样做可能会造成潜在的无法正确收集审计数据的问题。

  审计子系统能够同时接受配置语法中的长短名字。 接下来, 我们将给出语法表。

  下面是所支持的全部审计类:

  下面是全部支持的审计前缀:

警告: 使用 all 类, 无论是正还是负号作为前缀, 都会以极快的速度产生大量的数据。

  其他用于改变默认配置值得前缀:

16.4.2 配置文件

  多数情况下, 在配置审计系统时, 管理员只需修改两个文件: audit_controlaudit_user。 第一个文件控制系统级的审计参数, 以及所有有主或无主事件的默认参数。 第二个文件用于调整针对具体用户的审计级别和性质。

16.4.2.1 传说中的 audit_control 文件

  audit_control 文件包含了一些基本的默认值, 管理员通常会希望加以修改, 有时甚至是设置一些新的配置。 察看这个文件的内容, 我们会发现:

dir:/var/audit
flags:lo
minfree:20
naflags:lo

  这里的 dir 用于设置审计日志的默认存放目录。 审计通常都会配置为保存在一个专用的文件系统之下, 以避免审计系统与其它子系统在文件系统满的时候所产生的冲突。

  flags 选项则用来设置系统级的默认。 目前的设置, 即 lo 配置审计所有的 login(1)logout(1) 动作。 而更为复杂的例子, lo,ad,-all,^-fa,^-fc,^-cl 表示审计所有的系统 login(1)logout(1) 动作、 所有管理动作, 以及所有系统中失败的动作, 但最后禁用对 fafc, 以及 cl 的失败常是。 尽管 -all 会打开所有事件的失败常是, 但之后的选项中的 ^- 前缀则会改变相应的设置。

  请注意前一节也说明了配置是从左到右读取的。 同样地, 较为靠右的值可以替代靠左的值所设定的默认。

  minfree 参数定义了用于审计的文件系统上, 剩余空间的最小值。 这一百分比值是相对于保存审计日志的文件系统来计算的。 例如, 如果 dir 指定了 /var/auditminfree 设为两成 (20), 则当 /var 文件系统有八成 (80) 空间被填满时将会给出警告消息。

  naflags 参数用于指定无主事件 ── 也就是那些并不与特定用户关联的事件的审计。

16.4.2.2 audit_user 文件

  audit_user 文件允许管理员决定哪些系统用户所产生的哪些类的事件应被记录在案。

  下面是 audit_user 文件中的一些默认值:

root:lo:no
audit:fc:no

  注意默认值将审计所有的 login/logout 事件, 而禁止审计所有其他由 root 完成的动作。 这一配置也会审计所有文件创建操作, 并禁止所有其他由 audit 用户完成的操作。 尽管事件审计并不依赖特殊的用户才能正常工作, 某些配置, 特别是使用了 MAC 的环境中, 却可能需要这个用户存在。

本文档和其它文档可从这里下载:ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读文档,如不能解决再联系<[email protected]>.
关于本文档的问题请发信联系 <[email protected]>.