17.1.概述
FreeBSD 操作系统包括对安全事件审计的支持。事件审计支持对各种安全相关的系统事件进行可靠的、精细的、可配置的日志记录,包括登录、配置变化、文件和网络访问。这些日志记录对于实时系统监控、入侵检测和事后分析都是非常宝贵的。FreeBSD 实现了 Sun™ 发布的基本安全模块 (BSM) 应用编程接口 (API) 和文件格式,并与 Solaris™ 和 Mac OS® X 的审计实现具有互操作性。
本章重点介绍事件审计的安装和配置。解释审计策略并提供一个审计配置的例子。
读完本章后,你会知道:
- 什么是事件审计,它是如何工作的。
- 如何在 FreeBSD 上为用户和进程配置事件审计。
- 如何使用审计还原和审查工具来审查审计跟踪。
在阅读本章之前,你应该:
- 了解 UNIX® 和 FreeBSD 的基础知识 (FreeBSD 基础)。
- 熟悉内核配置/编译的基础知识 (配置 FreeBSD 内核)。
- 对安全及其与 FreeBSD 的关系有一定的了解(安全)。
警告
审计设施有一些已知的限制。并非所有与安全有关的系统事件都可以审计,某些登录机制,例如基于 X11 显示管理器,以及第三方服务的登录机制,都不会在用户的登录会话中正确配置审计。安全事件审计设施能够生成非常详细的系统活动日志。在一个繁忙的系统中,当配置为高度详细时,跟踪文件数据可能非常大,在某些配置中每周会超过几个 GB。管理员应该考虑到与高频审计配置有关的磁盘空间要求。例如,可能需要为
/var/audit专设一个文件系统,这样,如果审计文件系统装满,其他文件系统也不会受到影响。
若有收获,就点个赞吧
0 人点赞
