Linux 审计系统提供了一种跟踪系统上与安全相关的信息的方法。根据预先配置的规则,Audit 会生成日志条目,以尽可能多地记录有关系统上发生的事件的信息。此信息对于关键任务环境确定安全策略的违反者及其执行的操作至关重要。审计不会为您的系统提供额外的安全性;相反,它可用于发现违反您系统上使用的安全策略的情况。可以通过其他安全措施(例如 SELinux)进一步防止这些违规行为。
audit能够在日志中记录的信息有:
时间的日期时间、类型和结果 主体和客体的敏感度标签 事件与触发事件的用户身份的关联 对审计配置的所有修改和访问审计日志文件的尝试 身份验证机制的所有用途,例如 SSH、Kerberos 等 对任何受信任数据库的更改,例如/etc/passwd 尝试将信息导入或导出系统 根据用户身份、主题和对象标签以及其他属性包括或排除事件使用审计系统也是许多与安全相关的认证的要求。审核旨在满足或超过以下认证或合规指南的要求:
受控访问保护配置文件 (CAPP) 标记安全保护配置文件 (LSPP) 规则集基础访问控制 (RSBAC) 国家工业安全计划操作手册 (NISPOM) 联邦信息安全管理法案 (FISMA) 支付卡行业 — 数据安全标准 (PCI-DSS) 安全技术实施指南 (STIG)审计还包括:
由国家信息保障合作伙伴 (NIAP) 和最佳安全行业 (BSI) 评估。 在 Red Hat Enterprise Linux 5 上通过