我正在尝试学习如何保护Linux系统(我正在使用Ubuntu)。 build议对节点上的活动进行审计。 我已经设法安装它,但我找不到有关正确设置以保护我的节点的许多信息。
我应该如何设置auditd以使我的节点更安全? 我应该监视什么? 为什么? 我正在寻找有经验的pipe理员的设置示例和build议。
谢谢!
要明确,auditd是一个非常宝贵的工具,但它不会使你的系统更安全。 它会做什么,为您提供更详细的logging在某些活动。 有人仍然需要查看生成的日志。 就像树一样,如果一个活动被监控,但没有人在看,那么这个日志很重要吗?
最简单的,我使用了/etc/audit/audit.rules 。 每当setrlimit或stime系统调用退出,以及每当一个目录被删除,它都会抛出一个日志。
# This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the initscripts. # The rules are simply the parameters that would be passed # to auditctl. # First rule - delete all -D -e 1 # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 1024 # Feel free to add below this line. See auditctl man page -a exit,always -S unlink -S rmdir -a exit,always -S stime.* -a exit,always -S setrlimit.*
有关更深入的示例,请查看适用于RHEL 5.1-5.2的CIS基准testing。 不幸的是,Ubuntu没有一个,Debian的几个年代。 但是,该部分不应该有任何特定分布的内容。