Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者 用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise Linux 5中已经可用。 要使用Linux Auditing System,可采用下面的步骤: (1) 配置审计守护进程。 (2) 添加审计规则和观察器来收集所需的数据。 (3) 启动守护进程,它启用了内核中的Linux Auditing System并开始进行日志记录。 (4) 通过生成审计报表和搜索日志来周期性地分析数据。 配置审计守护进程 Red Hat Enterprise Linux 5内核中的Linux Auditing System默认是关闭的。当启动审计守护进程时,启用这个内核特性。要在启动时不通过守护进程auditd来启用Linux Auditing System,只需用audit= 1参数来引导。如果这个参数设置为1,而且auditd没有运行,则审计日志会被写到/var/log/messages中。 要使用auditd和实用程序来生成日志文件报表,必须安装audit RPM程序包。如果没有安装,则参见第3章“操作系统更新”了解关于程序包安装的指令。 用了auditd,管理员就可以定制产生的审计日志。下面只是一部分可用的自定义配置: ● 设置审计消息的专用日志文件 ● 确定是否循环使用日志文件 ● 如果日志文件的启动用掉了太多磁盘空间则发出警告 ● 配置审计规则记录更详细的信息 ● 激活文件和目录观察器 这些设置值及
linux日志审计audit
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至lizi9903@foxmail.com举报,一经查实,本站将立刻删除。