|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
Опции темы | Поиск в этой теме |
12.12.2013, 22:27 | #1 |
Пользователь
Регистрация: 09.02.2013
Сообщений: 48
|
Аудит в Linux
Добрый вечер, уважаемые коллеги.
Не могли бы вы помочь разобраться с несколькими вопросами по Linux: 1) Что из себя представляют файлы журнала аудита? 2) Какие есть типы регистрируемых событий и как их задавать? 3) Кто может: - просматривать события? - изменять правила? - очищать журналы? Заранее благодарю за помощь. |
13.12.2013, 05:56 | #2 | |
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Цитата:
Остальные вопросы здесь например: http://vanonsk.blogspot.ru/2010/12/auditd.html
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
|
18.12.2013, 23:38 | #3 |
Пользователь
Регистрация: 09.02.2013
Сообщений: 48
|
Спасибо, вот что получается
( Что-то то с типами событий какой-то косяк, было бы круто посмотреть доку по ним. Не кто не знает где можно найти полный список регистрируемых в линукс событий? И по поводу 3 помоему я не верно ответил. Не кто не может проверить плохо разбирающегося в линукс человека? ): ------------------ 1. Файлы журнала аудита? Конфигурационные файлы журнала аудита: - /etc/sysconfig/auditd — содержит настройки используемые при старте даемона auditd; - /etc/audit/auditd.conf — настройки поведения даемона auditd; - /etc/audit/audit.rules — файл содержащий правила аудита. В файле /etc/audit/auditd.conf можно задать параметры файла журнала аудита: - log_file — место расположения и название файла аудита (по умолчанию: /var/log/audit/audit.log); - max_log_file и max_log_file_action. max_log_file — максимальный размер лог файла в мегабайтах, по достижению которого будет выполнено действие определенное в max_log_file_action. Возможные действия: ignore — ничего не делать; syslog — отправить предупреждение в syslog; suspend — остановить запись событий на диск; rotate — произвести ротацию лог файлов в соответствии с числом num_logs; keep_logs — осуществить ротацию, при этом не удалять старые файлы. 2. Типы регистрируемых событий и как они задаются? Типы регистрируемых событий: - события связанные с созданием процессов; - события доступа к файлам и каталогам; - события, в которых указываются параметры пользовательского пространства, такие как uid, pid и gid; - события системных вызовов; Для настройки правил аудита системных вызовов и слежения за файлами и каталогами используется утилита auditctl. Демон auditd считывает правила сверху вниз и если будет обнаружено два конфликтующих правила, то предпочтение будет отдано первому найденному правилу. Каждая строка описания правила аудита системных вызовов имеет следующий синтаксис: -а , В качестве параметра указывается список событий, в который добавляется данное правило. К таким спискам относятся списки: - task (используется для ведения событий, связанных с созданием процессов) - user (используется для ведения событий, в которых указываются параметры пользовательского пространства, такие как uid, pid и gid), - exclude (используется для запрета аудита указанных в данном списке событий), - entry (используется для регистрации событий системных вызовов) - exit (используется для регистрации событий системных вызовов). В качестве параметра указывается одно из действий, предпринимаемых по отношению к указанным в списках событиям. Доступно всего два действия: never и always. Пи указании действия never, события не записываются в журнал аудита. Указание действия always имеет противоположный эффект. В параметре задаются опции, являющиеся фильтрами, при помощи которых можно детализировать события аудита. Полный список опций можно посмотреть в руководстве man для команды auditdctl. В качестве опций можно задавать уникальные идентификаторы пользователя или процесса, название системного вызова и многое другое. При этом, возможно использовать логические выражения для формирования комбинированных опций. 3. Кто может просматривать события, изменять правила, очищать журналы? Демон auditd позволяет системному администратору настраивать процесс аудита, а именно: - задавать отдельный файл для журналирования событий; - определять ротацию журнального файла событий; - задавать оповещения в случае переполнения журнала событий; - определять уровень детализации событий; - настраивать правила аудита. Обычно журнальный файл системы аудита событий ОС Linux можно просматривать при помощи любого текстового редактора. Однако для выполнения общего анализа событий требуется суммировать отдельные записи в данном файле, что практически нереально выполнить, используя только возможности текстового редактора. Для формирование более детального отчета необходимо выполнять команду aureport с использованием дополнительных ключей, который можно найти в руководстве man по данной команде. --------------------------------------------- Что-то то с типами событий какой-то косяк, было бы круто посмотреть доку по ним. Не кто не знает где можно найти полный список регистрируемых в линукс событий? И по поводу 3 помоему я не верно ответил. Не кто не может проверить плохо разбирающегося в линукс человека? |
19.12.2013, 23:05 | #4 | |
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Цитата:
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
|
21.12.2013, 19:16 | #5 |
Пользователь
Регистрация: 09.02.2013
Сообщений: 48
|
Да, согласен, ерунду написал. Взято с http://vanonsk.blogspot.ru/2010/12/auditd.html
Последний раз редактировалось _SanR; 21.12.2013 в 20:19. |
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
аудит sql-запросов | absbelii | SQL, базы данных | 0 | 16.08.2013 22:05 |
Аудит софта | Sk!f | Операционные системы общие вопросы | 4 | 14.06.2013 14:32 |
Аудит печати | surf135 | Операционные системы общие вопросы | 0 | 07.06.2013 15:41 |
Аудит печати | alexsvi | Безопасность, Шифрование | 2 | 25.10.2009 12:27 |