Capitolo 17. Auditing degli Eventi di Sicurezza

Scritto da Tom Rhodes e Robert Watson.
Indice
17.1. Sinossi
17.2. Termini chiave - Parole da conoscere
17.3. Installare il Supporto Audit
17.4. Configurazione dell'Audit
17.5. Amministrare il Sottosistema Audit

17.1. Sinossi

FreeBSD 6.2-RELEASE e i successivi includono supporto per audit di eventi relativi alla sicurezza. L'audit degli eventi permette di tener traccia attraverso i log in modo affidabile, preciso e configurabile di una varietà di eventi rilevanti per la sicurezza del sistema, inclusi i login, i cambiamenti della configurazione e l'accesso ai file ed alla rete. Questi dati loggati possono essere molto preziosi per il monitoraggio di sistemi in produzione, ricerca di intrusioni ed analisi post mortem. FreeBSD implementa le API di BSM di Sun™ e i suoi formati di file, ed è interoperabile sia con le implementazioni di audit di SunSolaris™ che con quelle di Apple® Mac OS® X.

Questo capitolo si focalizza sull'installazione e la configurazione dell'Auditing degli Eventi. Spiega politiche di auditing e fornisce come esempio una configurazione di audit.

Dopo aver letto questo capitolo, saprai:

  • Cosa è l'Auditing di Eventi e come funziona.

  • Come configurare l'Auditing di Eventi su FreeBSD per utenti e processi.

  • Come rivedere la traccia di audit usando la riduzione dell'audit e i tool per studiarla.

Prima di leggere questo capitolo, dovresti:

Avvertimento:

La funzione di audit in FreeBSD 6.X è sperimentale e la messa in produzione dovrebbe avvenire solo dopo aver ben ponderato i rischi connessi al software sperimentale. Le limitazioni note includono che non tutti gli eventi relativi alla sicurezza al momento posso essere tracciati con l'audit, e che alcuni meccanismi di login, come display manager basati su X11 e demoni di terze parti, non sono correttamente configurabili per tracciare sotto audit le sessioni di login degli utenti.

La funzione di audit di sicurezza può generare log molto dettagliati dell'attività di sistema: su un sistema carico, i file di traccia possono essere molto grandi quando sono configurati in dettaglio, oltre i gigabytes per settimana. Gli amministratori dovrebbero tenere in conto le richieste di spazio associate alla configurazione dell'audit di grandi dimensioni. Ad esempio, potrebbe essere desiderabile dedicare un intero file system alle directory sotto /var/audit in modo che gli altri file system non siano toccati se il file system di audit si riempie completamente.

Questo, ed altri documenti, possono essere scaricati da ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/

Per domande su FreeBSD, leggi la documentazione prima di contattare <questions@FreeBSD.org>.

Per domande su questa documentazione, invia una e-mail a <doc@FreeBSD.org>.