Глава 16. Аудит событий безопасности

Автор Tom Rhodes. Перевод на русский язык: Денис Баров.

16.1. Краткий обзор

FreeBSD 6.2-RELEASE и более поздние версии FreeBSD включают в себя поддержку аудита событий безопасности. Аудит событий дает надежный и точный способ для протоколирования различных событий, связанных с безопасностью, включая входы в систему, изменения конфигурации, доступ к файлам и сети. Эти записи могут быть незаменимы для мониторинга функционирующей системы, обнаружения вторжений и для анализа событий, приведших к краху системы. В FreeBSD реализован опубликованный SunBSM API и формат файла, который совместим с реализациями аудита в Sun Solaris™ и Apple® Mac OS® X.

В этой главе описывается, в основном, процесс установки и конфигурирования системы аудита. В том числе, приводится разъяснение политик аудита, а так же даются примеры конфигурационных файлов.

После прочтения этой главы вы будете знать:

  • Что такое система аудита и как она работает.

  • Как настроить аудит во FreeBSD для мониторинга пользователей и процессов.

  • Как просматривать журнал аудита, использовать ограничения по размеру и специальные инструменты для его просмотра.

Перед прочтением этой главы вы должны:

  • Понимать основы UNIX® и FreeBSD (Гл. 3).

  • Уметь конфигурировать и компилировать ядро (Гл. 8).

  • Понимать основные принципы безопасности в применении к операционной системе FreeBSD (Гл. 14).

Внимание: Реализация аудита в FreeBSD 6.2 - экспериментальная, использование ее в реальных задачах должно производиться только после внимательного ознакомления со всеми рисками, к которым приводит использование экспериментального программного обеспечения. К известным ограничениям относится и тот факт, что не все события в настоящий момент протоколируемы. Например, некоторые механизмы входа в систему (X11-основанные оконные менеджеры, многое программное обеспечение от сторонних производителей) не сконфигурированы для протоколирования событий входа в систему через подсистему аудита.

Внимание: Использование системы в аудита может привести к генерированию огромных журнальных файлов: их размер на сильно загруженных серверах в некоторых конфигурациях может достигать нескольких гигабайт в неделю. Администраторы должны внимательно следить за дисковым пространством в разделе системы аудита. Например, рекомендуется выделить отдельный раздел для файловой системы аудита /var/audit, чтобы переполнение раздела аудита не влияло на работоспособность всей остальной системы.

Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

По вопросам, связанным с FreeBSD, прочитайте документацию прежде чем писать в <questions@FreeBSD.org>.
По вопросам, связанным с этой документацией, пишите <doc@FreeBSD.org>.
По вопросам, связанным с русским переводом документации, пишите в рассылку <frdp@FreeBSD.org.ua>.
Информация по подписке на эту рассылку находится на сайте проекта перевода.

Обновлено: 12.03.2015