Κεφάλαιο 18. Έλεγχος Συμβάντων Ασφαλείας

Γράφτηκε από τον Tom Rhodes και Robert Watson.
Πίνακας Περιεχομένων
18.1. Σύνοψη
18.2. Key Terms in this Chapter
18.3. Installing Audit Support
18.4. Audit Configuration
18.5. Administering the Audit Subsystem

18.1. Σύνοψη

Οι εκδόσεις του FreeBSD από την 6.2-RELEASE και μετά περιλαμβάνουν υποστήριξη για λεπτομερή έλεγχο συμβάντων ασφαλείας. Ο έλεγχος συμβάντων επιτρέπει αξιόπιστη, λεπτομερή και παραμετροποιήσιμη καταγραφή πλήθους συμβάντων σχετικών με την ασφάλεια, συμπεριλαμβανομένων των logins, των αλλαγών ρυθμίσεων, καθώς και της πρόσβασης σε αρχεία και στο δίκτυο. Οι καταγραφές αυτές είναι πολύτιμες για απευθείας παρακολούθηση του συστήματος, ανίχνευση εισβολέων, καθώς και για ανάλυση μετά από κάποια επίθεση. Το FreeBSD υλοποιεί τη μορφή αρχείων και το BSM API όπως έχουν δημοσιευτεί από την SunTM, και επιτρέπει διαλειτουργικότητα με τις υλοποιήσεις ελέγχου τόσο του SolarisTM της SunTM όσο του Mac OS(R) της Apple(R).

Το κεφάλαιο αυτό εστιάζει στην εγκατάσταση και ρύθμιση του Ελέγχου Συμβάντων. Εξηγεί τις πολιτικές ελέγχου, και παρέχει ένα παράδειγμα ρυθμίσεων ελέγχου.

Αφού διαβάσετε αυτό το κεφάλαιο, θα ξέρετε:

  • Τι είναι ο έλεγχος συμβάντων και πως λειτουργεί.

  • Πως να ρυθμίσετε τον έλεγχο συμβάντων στο FreeBSD για χρήστες και προγράμματα (processes).

  • Πως να αναλύσετε τα ίχνη του ελέγχου χρησιμοποιώντας τα εργαλεία μείωσης όγκου δεδομένων και ανάλυσης.

Πριν διαβάσετε αυτό το κεφάλαιο, θα πρέπει:

Προειδοποίηση:

Οι λειτουργίες ελέγχου στο FreeBSD 6.2 είναι σε πειραματικό στάδιο και η εγκατάσταση τους σε μηχανήματα παραγωγής θα πρέπει να γίνεται μόνο αφού ληφθούν σοβαρά υπόψιν οι κίνδυνοι από την εγκατάσταση πειραματικού λογισμικού. Οι γνωστοί αυτή τη στιγμή τρέχοντες περιορισμοί περιλαμβάνουν την αδυναμία ελέγχου όλων των συμβάντων που σχετίζονται με την ασφάλεια. Επίσης κάποιοι μηχανισμοί εισόδου (logins), όπως οι γραφικοί (X11-βασισμένοι) display managers, καθώς και ορισμένες υπηρεσίες τρίτων κατασκευαστών δεν είναι σωστά ρυθμισμένες για τον έλεγχο εισόδου χρηστών.

Προειδοποίηση:

Ο έλεγχος συμβάντων ασφαλείας μπορεί να δημιουργήσει πολύ λεπτομερείς καταγραφές της δραστηριότητας του συστήματος: σε ένα σύστημα με υψηλό φόρτο, τα αρχεία καταγραφής μπορεί να γίνουν πολύ μεγάλα, αν έχουν ρυθμιστεί για λεπτομερή καταγραφή, και να ξεπεράσουν τα αρκετά gigabytes την εβδομάδα σε κάποιες περιπτώσεις. Οι διαχειριστές θα πρέπει να λαμβάνουν υπόψιν τους τις πιθανές απαιτήσεις σε χώρο δίσκου σε περίπτωση ρυθμίσεων λεπτομερούς καταγραφής. Για παράδειγμα, ίσως είναι θεμιτό να αφιερωθεί ένα σύστημα αρχείων στο /var/audit ώστε τα υπόλοιπα συστήματα αρχείων να μην επηρεαστούν αν ο χώρος αυτός εξαντληθεί.

Αυτό το κείμενο, και άλλα κείμενα, μπορεί να βρεθεί στο ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/

Για ερωτήσεις σχετικά με το FreeBSD, διαβάστε την τεκμηρίωση πριν να επικοινωνήσετε με την <questions@FreeBSD.org>.

Για ερωτήσεις σχετικά με αυτή την τεκμηρίωση, στείλτε e-mail στην <doc@FreeBSD.org>.