Бүлэг 18. Аюулгүй байдлын үйл явцад аудит хийх нь

This translation may be out of date. To help with the translations please access the FreeBSD translations instance.

18.1. Ерөнхий агуулга

FreeBSD үйлдлийн системд нягт-боловсруулсан, аюулгүй байдлын үйл явцад аудит хийх дэмжлэг орсон байгаа. Үйл явцад аудит хийх нь нэвтрэн оролтууд, тохиргооны өөрчлөлтүүд, болон файл болон сүлжээний хандалт зэрэг төрөл бүрийн аюулгүй байдлын холбогдолтой системийн үйл явцуудын хянаж бүртгэсэн бичлэгийг найдвартай, нягт-боловсруулсан, ба тохируулах боломжтойгоор хийх боломжийг бүрдүүлдэг. Эдгээр хянаж бүртгэсэн бичлэгүүд нь системийг шууд хянах, халдлага илрүүлэх, болон халдлагын дараах анализ хийхэд үнэлж баршгүй байж болох юм. FreeBSD Sun™-ий гаргасан BSM API болон файлын хэлбэрийг шийдлээ болгосон бөгөөд Sun™-ий Solaris болон Apple®-ийн Mac OS® X-ийн аудит шийдлүүдтэй харилцан ажиллах боломжтой.

Энэ бүлэг нь үйл явцыг аудит хийхийг тохируулах болон суулгах тал дээр анхаарна. Энд аудитийн бодлогуудын талаар тайлбарлах бөгөөд аудитийн тохиргооны жишээг бас харж болно.

Энэ бүлгийг уншсаны дараа, та дараах зүйлсийг мэдэх болно:

Үйл явцыг аудит хийх гэж юу вэ болон яаж ажилладаг талаар.
Хэрэглэгчид болон процессуудын үйл явцыг аудит хийхийг FreeBSD дээр яаж тохируулах талаар.
Аудитийн мөрийг аудит багасгах болон хянах хэрэгслүүдээр хэрхэн шалгах талаар.

Энэ бүлгийг уншихаасаа өмнө, та дараах зүйлсийг мэдэх шаардлагатай:

UNIX® болон FreeBSD-ийн үндсийг ойлгох (Юниксийн үндэс).
Цөмийг тохируулах/хөрвүүлэх үндэстэй танилцах (FreeBSD цөмийг тохируулах нь).
Аюулгүй байдлын талаар болон түүний FreeBSD -тэй хэрхэн холбогддог талаар ойлголттой байх (Аюулгүй байдал).

Аудит хэрэгсэл нь зарим нэг хязгаарлагдмал боломжуудтай бөгөөд тэдгээрээс дурдвал бүх аюулгүй байдлын холбогдолтой системийн үйл явцуудыг аудит хийх боломжгүй, X11 дээр үндэслэгдсэн дэлгэцийн менежерүүд болон гуравдагч дэмонууд зэрэг зарим нэвтрэх механизмууд хэрэглэгчийн нэвтрэх сессийг аудит хийх тохиргоог буруу хийдэг зэрэг болно.

Аюулгүй байдлын үйл явцыг аудит хийх хэрэгсэл нь системийн ажиллагааны маш дэлгэрэнгүй бичлэгүүдийг үүсгэх чадвартай: нарийвчилсан тохиргоо хийгдсэн завгүй системд мөр бичлэгийн файлын өгөгдөл тохиргооноос хамааран зарим тохиолдолд гигабайтаас ч илүү асар их болох боломжтой. Администраторууд их хэмжээний аудит хийх тохиргоотой холбоотой дискний хэмжээний шаардлагыг тооцох ёстой. Жишээ нь, аудит бичиж байгаа файлын систем дүүрэх нөхцөлд өөр бусад файлын системүүдэд хамааралгүйгээр файлын системийг /var/audit модонд зориулах нь магадгүй зохимжтой байж болох юм.

18.2. Энэ бүлгийн түлхүүр ухагдахуунууд

Энэ бүлгийг уншихаас өмнө аудиттай холбоотой цөөн түлхүүр ухагдахуунуудыг тайлбарлах шаардлагатай:

үйл явц: Аудит хийх боломжтой үйл явц гэдэг нь аудит дэд системийн тусламжтайгаар хянаж бүртгэх боломжтой дурын үйл явцыг хэлнэ. Аюулгүй байдалтай холбоотой үйл явцуудын жишээнүүдэд файлын үүсгэлт, сүлжээний холболтыг босгох, эсвэл хэрэглэгчийн нэвтрэлтийг дурдаж болно. Үйл явцууд нь нэг бол жинхэнэ хэрэглэгч хүртэл мөрдөн гаргаж болох "шинж чанарлаг", эсвэл тэгж болохооргүй "шинж чанарлаг бус " байна. "Шинж чанарлаг бус" үйл явцуудын жишээнүүд гэвэл нууц үгийн буруу оролдлогууд гэх мэт нэвтрэн орох процессийн жинхэнэ эсэхийг шалгахаас өмнөх үеийн дурын үйл явцуудыг хэлж болно.
ангилал: Үйл явцын ангиллууд гэдэг нь холбоотой үйл явцууд бүхий хэсэг бүлгүүдийн нэр бөгөөд эдгээр нь сонголтын илэрхийллүүдэд хэрэглэгддэг. Энгийн ашиглагддаг үйл явцуудын ангиллуудад "файл үүсгэлт" (fc), "ажиллуулах" (ex) мөн "нэвтрэх_гарах" (lo) зэрэг орно.
бичлэг: Бичлэг гэдэг нь аюулгүй байдлын үйл явцыг тайлбарласан аудитийн хянан бүртгэсэн оруулга юм. Бичлэгүүд нь үйл явцын төрлийн бичлэг, субьектийн (хэрэглэгч) үйлдэл хийж байгаа тухай мэдээлэл, огноо болон цагийн мэдээлэл, дурын нэмэлт өгөгдлүүд болон обьектуудын мэдээлэл, амжилт эсвэл уналтын нөхцөлүүдийг агуулдаг.
мөр: Аудитийн мөр буюу хянан бүртгэлийн файл нь аюулгүй байдлын үйл явцуудыг тайлбарласан аудит бичлэгүүдийн сериэс тогтоно. Ерөнхийдөө мөрүүд нь үйл явцуудын биелж дууссан цагийн дагуу он цагийн дарааллаар байрладаг. Зөвхөн жинхэнэ процессууд аудитийн мөрд бичлэг нэмэх эрхтэй байдаг.
сонголтын илэрхийлэл: Сонголтын илэрхийлэл нь угтваруудын жагсаалт болон үйл явцтай тохирох аудитийн үйл явцын ангиллын нэрсээс тогтох мөр юм.
урьдчилсан сонголт: Энэ нь администраторын сонирхох боломж бүхий үйл явцууд, сонирхлыг татахгүй байгаа үйл явц зэргийг тайлбарласан аудитийн бичлэгүүдийг үүсгэхээс зайлсхийх зорилготойгоор ялгасан системийн процесс юм. Урьдчилсан тохиргоо нь аль хэрэглэгчийн хувьд үйл явцуудын аль ангиллуудыг таних болон жинхэнэ болон жинхэнэ биш процессуудад хамаарах глобал тохиргоонуудын сонголтын илэрхийллүүдийн серийг ашигладаг.
хураангуйлалт: Энэ нь байгаа аудитийн мөрнүүдээс аль бичлэгүүдийг хадгалалт, хэвлэлт болон анализ хийхээр сонгосон процесс юм. Үүний нэгэн адил аудит мөрөөс хэрэггүй аудит бичлэгүүдийг устгах процесс бас хамаарна. Хураангуйлалтыг ашиглаад администраторууд аудит өгөгдлийн хадгалалтын бодлогуудыг боловсруулах боломжтой юм. Жишээ нь, дэлгэрэнгүй аудитийн мөрнүүд нэг сарын хугацаанд хадгалагдаад дараагаар нь тэдгээр мөрнүүдийг архивын зорилгоор зөвхөн нэвтрэлтийн мэдээллийг үлдээн багасгаж болох юм.

18.3. Аудит хийх дэмжлэг суулгах нь

Үйл явцыг Аудит хийх хэрэглэгчийн талбарын дэмжлэг үндсэн FreeBSD үйлдлийн системд орсон байгаа. Үйл явцыг Аудит хийх дэмжлэг анхдагчаар эмхэтгэгдэн орсон боловч яг энэ боломжийг дэмжихийн тулд дараах мөрийг цөмд оруулан хөрвүүлсэн байх шаардлагатай:

options	AUDIT

FreeBSD цөмийг тохируулах нь -д тайлбарласан ердийн процессийн дагуу цөмийг дахин хөрвүүлж суулгана.

Аудит идэвхжсэн цөм бүтээгдэж суулгагдаад систем дахин ачаалсны дараа дараах мөрийг rc.conf(5) -д нэмж аудит дэмонг идэвхжүүлнэ:

auditd_enable="YES"

Тэгээд системийг дахин ачаалах замаар эсвэл гараар аудит дэмонг ажиллуулах замаар аудит дэмжлэгийг эхлүүлэх ёстой:

service auditd start

18.4. Аудитийн тохиргоо

Аюулгүй байдлын аудитийн тохиргооны бүх файлуудыг /etc/security дотроос олж болно. Дараах файлууд аудит дэмон эхлэхээс өмнө байх ёстой:

audit_class - Аудитийн ангиллуудын тодорхойлолтуудыг агуулна.
audit_control - Анхдагч аудитийн ангиллууд, аудитийн хянан бүртгэлтийн эзлэхүүнд үлдээх хамгийн бага дискний зай, хамгийн их аудитийн мөрийн хэмжээ гэх зэрэг аудит дэд системийн шинж чанарыг хянана.
audit_event - Системийн аудит үйл явцуудын тайлбарууд, нэрс болон үйл явц болгон аль ангилалд хамаарах жагсаалт.
audit_user - Нэвтрэн орох үеийн глобал анхдагчуудаас бүрдсэн зөвхөн хэрэглэгчид хамааралтай аудитийн шаардлагууд
audit_warn - Аудитийн бичлэгүүдийн зай хангалтгүй болох эсвэл аудитийн мөрийн файл дахин эргэсэн зэрэг зайлшгүй шаардлагатай тохиолдолд анхааруулах мэдээллүүдийг үүсгэдэг өөрчлөх боломж бүхий auditd-ийн ашигладаг бүрхүүлийн скрипт.

Тохиргоон дахь алдаанууд үйл явцуудын буруу хянан бүртгэлд хүргэж болзошгүй тул аудитийн тохиргооны файлуудыг засварлах болон ажиллагааг хангахдаа заавал болгоомжтой байх шаардлагатай.

18.4.1. Үйл явц сонголтын илэрхийллүүд

Сонголтын илэрхийллүүд нь аль үйл явцуудыг аудит хийх ёстойг тодорхойлох аудитийн тохиргооны хэд хэдэн газар ашиглагддаг. Илэрхийллүүд нь тохирох үйл явцын ангиллуудын жагсаалтаас бүрдэх ба эдгээр тус бүр нь тохирох бичлэгүүдийг хүлээн авах ёстой юу эсвэл орхих ёстой юу гэдгийг харуулсан угтвартайгаас гадна оруулга нь амжилттай эсвэл амжилтгүй үйлдлүүдтэй тохирох ёстойг харуулах боломж бас байна. Сонголтын илэрхийллүүд нь зүүнээс баруун тийш биелэгддэг бөгөөд хоёр илэрхийллийг нэг дээр нь нөгөөг нь нэмж нийлүүлдэг.

Дараах жагсаалт нь audit_class-д байгаа анхдагч үйл явцын ангиллуудаас тогтоно:

all - all - Бүх үйл явцын ангиллуудыг тааруулах(match).
ad - administrative - Удирдлагын үйлдлүүд систем дээр бүхэлдээ гүйцэтгэгдэнэ.
ap - application - Програмын тодорхойлсон үйлдэл.
cl - file close - close системийн дуудлагыг аудит хийх.
ex - exec - Програмын ажиллагааг аудит хийх. Тушаалын мөрийн нэмэлт өгөгдлүүд болон орчны хувьсагчуудыг argv ба envv параметрүүдийг ашиглан policy тохиргоонд тохиргоо хийн audit_control(5) -ийн тусламжтайгаар хянадаг.
fa - file attribute access - stat(1), pathconf(2) болон бусад адил үйл явцуудын обьектийн шинж чанаруудад хандсан хандалтыг аудит хийх.
fc - file create - Үр дүнд нь файл үүсдэг үйл явцуудыг аудит хийх.
fd - file delete - Файлыг устгадаг үйл явцуудыг аудит хийх.
fm - file attribute modify - chown(8), chflags(1), flock(2) зэрэг файлын шинж чанарын өөрчлөлт гарч байгаа үйл явцуудыг аудит хийх.
fr - file read - Өгөгдөл уншигдаж байгаа, мөн файлуудыг уншихаар нээсэн зэрэг үйл явцуудыг аудит хийх.
fw - file write - Өгөгдөл бичигдэж байгаа, мөн файлд бичсэн эсвэл файл өөрчлөгдсөн зэрэг үйл явцуудыг аудит хийх.
io - ioctl - ioctl(2) системийн дуудлагын хэрэглээг аудит хийх.
ip - ipc - POSIX хоолойнууд болон System V IPC үйлдлүүд зэрэг Процесс-Хоорондох Холбооны төрөл бүрийн хэлбэрүүдийг аудит хийх.
lo - login_logout - Систем дээр болж байгаа login(1) ба logout(1) үйл явцуудыг аудит хийх.
na - non attributable - Шинж чанаргүй үйл явцуудыг аудит хийх.
no - invalid class - Аудит бус үйл явцуудыг тааруулах(match).
nt - network - connect(2) ба accept(2) зэрэг сүлжээний үйлдлүүдтэй холбоотой үйл явцуудыг аудит хийх.
ot - other - Бусад үйл явцуудыг аудит хийх.
pc - process - exec(3) ба exit(3) зэрэг процессийн үйлдлүүдийг аудит хийх.

Эдгээр аудит үйл явцын ангиллуудыг audit_class болон audit_event тохиргооны файлуудыг өөрчилснөөр өөрчилж болно.

Жагсаалтад байгаа аудитийн ангилал бүр амжилттай/амжилтгүй үйлдлүүдийг таарсан эсэхийг болон ангилал ба төрлийн хувьд таарч байгааг нэмж байгаа эсвэл устгаж байгааг харуулсан угтвартай байна.

(none) Үйл явцын амжилттай болон амжилтгүйг аудит хийх.
+ Энэ ангилал дахь амжилттай үйл явцуудыг аудит хийх.
- Энэ ангилал дахь амжилтгүй үйл явцуудыг аудит хийх.
^ Энэ ангилал дахь амжилттай, амжилтгүй аль нь ч биш үйл явцуудыг аудит хийх.
^+ Энэ ангилал дахь амжилттай үйл явцуудыг аудит хийхгүй.
^- Энэ ангилал дахь амжилтгүй үйл явцуудыг аудит хийхгүй.

Дараах сонголтын мөр амжилттай ба амжилтгүй нэвтрэлт/гаралтын үйл явцуудаас гадна зөвхөн амжилттай ажиллуулсныг сонгож байна:

lo,+ex

18.4.2. Тохиргооны файлууд

Аудит системийг тохируулахдаа ихэнх тохиолдолд администраторууд зөвхөн хоёр файлыг өөрчлөх хэрэгтэй: audit_control болон audit_user. Эхнийх нь системийн дагуух аудит өмчүүд болон бодлогуудыг хянадаг; хоёр дахь нь хэрэглэгчийн аудитийг нарийн тохируулахад ашиглагддаг.

18.4.2.1. audit_control файл

audit_control файл нь аудит дэд системийн хувьд анхдагч утгуудын тоог тодорхойлно. Энэ файлын дотор бид дараах зүйлсийг харна:

dir:/var/audit
flags:lo
minfree:20
naflags:lo
policy:cnt
filesz:0

dir тохиргоо нь аудит бүртгэлүүдийг хадгалах нэг болон хэд хэдэн санг заахад хэрэглэгдэнэ. Хэрэв нэгээс их сан байгаа бол бичигдсэн дарааллаараа ашиглагдана. Файлын систем дүүрсэн тохиолдолд аудит дэд систем болон бусад дэд системүүд бие биедээ нөлөөлж болзошгүй учир аудит бүртгэлүүдийг тусгайлан зориулсан файлын систем дээр хадгалахаар аудит системийг ихэвчлэн тохируулдаг.

flags талбар нь системийн дагуух шинж чанар бүхий үйл явцуудад зориулсан анхдагч урьдчилан сонголтын багийг тодорхойлдог. Дээрх жишээн дээр бүх хэрэглэгчийн хувьд амжилттай болон амжилтгүй нэвтрэлт болон гаралтын үйл явцууд аудит хийгдэж байна.

minfree тохиргоо нь аудит мөр хадгалагдах файлын системийн хувьд хамгийн бага чөлөөт зайны хувийг тодорхойлдог. Энэ тогтоосон хэмжээнээс илүү гарахад анхааруулга үүсгэгддэг. Дээрх жишээ хамгийн бага чөлөөт зайг 20 хувиар тогтоожээ.

naflags тохиргоо нь нэвтрэн оролтын процесс болон системийн дэмонууд зэрэг шинж чанаргүй үйл явцуудыг аудит хийх аудитийн ангиллуудыг тодорхойлдог.

policy тохиргоо нь таслалаар тусгаарлагдсан, аудитийн зан авирын төрөл бүрийн шинж чанарыг хянах бодлогын тугуудын жагсаалтыг тодорхойлдог. Анхдагч cnt туг нь аудит амжилтгүй болсон ч гэсэн систем ажиллагаагаа үргэлжлүүлэхийг заадаг (энэ туг зайлшгүй шаардлагатай). Өөр нэг байнга ашиглагддаг туг бол argv бөгөөд энэ нь execve(2) системийн дуудлагад орж байгаа тушаалын мөрийн нэмэлт өгөгдлүүдийг тушаалын ажиллагааг аудит хийхийн хэсэг болох боломж олгодог.

filesz тохиргоо нь мөрийн файл автоматаар төгсөх болон эргэхээс өмнөх аудит мөрийн файлын хамгийн их хэмжээг байтаар тодорхойлдог. Анхдагч утга нь 0 байх ба автоматаар эргүүлэхийг хориглосон байна. Хэрэв хүссэн файлын хэмжээ тэгээс ялгаатай ба 512k -аас бага бол түүнийг орхиж бүртгэлийн мэдээлэл үүсгэнэ.

18.4.2.2. audit_user файл

audit_user файл нь зарим нэг хэрэглэгчдэд зориулсан аудитийн шаардлагуудыг администраторууд тодорхойлохыг зөвшөөрдөг. Мөр болгон хэрэглэгчид зориулсан аудитийг хийхийг хоёр талбараар тохируулдаг: нэг дэх нь хэрэглэгчийн хувьд үргэлж аудит хийх шаардлагатай нэг хэсэг үйл явцуудыг тодорхойлдог alwaysaudit талбар ба хоёр дахь нь neveraudit талбар бөгөөд хэрэглэгчийн хувьд хэзээ ч аудит хийх шаардлагагүй нэг хэсэг үйл явцуудыг тодорхойлдог.

Дараах жишээн дээр audit_user файл нь нэвтрэлт/гаралтын үйл явцууд, root хэрэглэгчийн амжилттай тушаалын ажиллагаа, файл үүсгэлт ба www хэрэглэгчийн амжилттай тушаалын ажиллагааг аудит хийж байна. Хэрэв дээрх жишээ audit_control файлтай цуг ашиглагдвал root-ийн lo оруулга нь давхардах бөгөөд www хэрэглэгчийн нэвтрэлт/гаралтын үйл явцууд бас аудит хийгдэнэ.

root:lo,+ex:no
www:fc,+ex:no

18.5. Аудит дэд системийг удирдах нь

18.5.1. Аудит мөрүүдийг харах нь

Аудит мөрүүд нь BSM хоёртын хэлбэрээр хадгалагддаг бөгөөд өөрчлөх болон текст уруу хөрвүүлэхэд тусгай хэрэгслүүд ашиглах шаардлагатай. praudit(1) тушаал нь мөрийн файлуудыг хялбар текст хэлбэрт хөрвүүлдэг; auditreduce(1) тушаал нь аудит мөрийн файлыг шинжлэх, архивлах эсвэл хэвлэх зорилгоор багасгахад ашиглагддаг. auditreduce нь үйл явцын төрөл, үйл явцын ангилал, үйл явцын хэрэглэгч, огноо эсвэл цаг, файлын зам эсвэл обьектийн үйлдэл үзүүлсэн зэрэг төрөл бүрийн сонголтын параметрүүдийг дэмждэг.

Жишээ нь praudit хэрэгсэл нь заасан аудит бүртгэлийн бүх агуулгыг жирийн текстээр харуулна:

# praudit /var/audit/AUDITFILE

AUDITFILE нь харуулах аудит бүртгэл юм.

Аудит мөрүүд нь токенуудаас бүтэх аудит бичлэгүүдийн цувралаас тогтох бөгөөд praudit нь мөр болгонд нэгийг дараалуулан хэвлэнэ. Токен бүр аудит бичлэгийн толгойг агуулсан header эсвэл нэрийн хайлтаас гарсан файлын замыг агуулсан path зэрэг тусгай төрлийн байна. Дараах жишээ нь execve үйл явцыг харуулж байна:

header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec
exec arg,finger,doug
path,/usr/bin/finger
attribute,555,root,wheel,90,24918,104944
subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100
return,success,0
trailer,133

Энэхүү аудит нь амжилттай execve дуудлагыг илэрхийлж байгаа бөгөөд түүнд finger doug тушаал ажиллажээ. Нэмэлт өгөгдлийн токен нь цөм уруу бүрхүүлээс гарч боловсруулагдсан тушаалын мөрийг агуулна. path буюу замын токен нь цөмийн хайсан ажиллах файлын замыг агуулна. attribute буюу шинж чанарын токен нь хоёртын файлыг тайлбарлах ба тухайлбал програм setuid эсэхийг тодорхойлоход ашиглагдах файлын горимыг агуулна. subject буюу субьект токен нь субьект процессийг тайлбарлах бөгөөд аудит хэрэглэгчийн ID, идэвхитэй хэрэглэгчийн ID ба бүлгийн ID, жинхэнэ хэрэглэгчийн ID ба бүлгийн ID, процессийн ID, сессийн ID, портын ID болон нэвтрэлтийн хаяг гэсэн дарааллаар хадгална. Аудит хэрэглэгчийн ID ба жинхэнэ хэрэглэгчийн ID нь ялгаатайг анхаарах хэрэгтэй: robert гэдэг хэрэглэгч энэ тушаалыг ажиллуулахаасаа өмнө root бүртгэл уруу шилжсэн бөгөөд энэ нь эхний шалгуулсан хэрэглэгчийг ашиглан аудит хийгдсэн байна. Төгсгөлд нь return буюу буцах токен нь амжилттай ажиллагааг харуулж trailer нь бичлэгийг төгсгөнө.

praudit нь бас XML гаралтын хэлбэрийг дэмждэг бөгөөд үүнийг -x нэмэлт өгөгдлийг ашиглан сонгож болдог.

18.5.2. Аудитийн мөрүүдийг багасгах нь

Аудит бүртгэлүүд нь маш их байж болно, администратор зарим хэрэглэгчтэй холбоотой бичлэгүүд зэрэг хэсэг бичлэгүүдийг ашиглахын тулд шилж сонгохыг магадгүй хүснэ:

# auditreduce -u trhodes /var/audit/AUDITFILE | praudit

Энэ нь AUDITFILE файлд хадгалагдсан trhodes хэрэглэгчийн бүх аудитийн бичлэгүүдийг сонгож байна.

18.5.3. Аудит хянах эрхүүдийг томилох нь

audit бүлгийн гишүүд /var/audit дахь аудит мөрүүдийг унших эрхтэй; анхандаа энэ бүлэг нь хоосон байх бөгөөд тэгэхээр зөвхөн root хэрэглэгч аудит мөрүүдийг уншиж чадна. Аудит хянах эрхүүдийг хэрэглэгчдэд томилохын тулд хэрэглэгчдийг audit бүлэгт нэмж болно. Аудитийн бүртгэлийн агуулгыг хянах чадвар нь хэрэглэгчид болон процессуудын үйл хөдлөлийн дотоод уруу нэлээн гүнзгий ханддаг учир аудит хянах эрхүүдийг томилохдоо болгоомжтой хийхийг зөвлөж байна.

18.5.4. Аудит хоолойнуудыг шууд монитор хийх нь

Аудит хоолойнууд нь төхөөрөмжийн файлын систем дахь клон хийгдсэн псевдо төхөөрөмжүүд бөгөөд програмыг шууд явж байгаа аудит бичлэгийн урсгалд холбох боломж олгоно. Энэ нь голчлон халдлага илрүүлэх болон систем монитор хийх програмуудын зохиогчдын сонирхлыг татдаг. Гэхдээ администраторуудын хувьд аудитийн хоолойны төхөөрөмж нь аудитийн мөрийн файлын эзэмшил эсвэл үйл явцын урсгалыг зогсоох, бүртгэл эргүүлэх зэрэг асуудлуудтай холбогдолгүйгээр шууд монитор хийх эвтэйхэн боломжийг бүрдүүлдэг. Шууд явж байгаа аудитийн үйл явцын урсгалыг хянахдаа дараах тушаалын мөрийг ашиглана:

# praudit /dev/auditpipe

Анхандаа аудитийн хоолойны төхөөрөмжийн цэгүүдэд зөвхөн root хэрэглэгч хандах эрхтэй байдаг. audit бүлгийн хэрэглэгчид хандах боломжтой болгохын тулд devfs дүрмийг devfs.rules -д нэмнэ:

add path 'auditpipe*' mode 0440 group audit

devfs файлын системийг тохируулах талаар дэлгэрэнгүй мэдээллийг devfs.rules(5) -ээс харна уу.

Аудитийн үйл явцын буцааж өгөх давталтуудыг үүсгэх нь хялбар бөгөөд аудит үйл явц бүрийн үзэлт нь олон аудитийн үйл явцуудыг үүсгэхэд хүргэнэ. Жишээ нь, хэрэв сүлжээний бүх I/O аудит хийгдсэн бөгөөд praudit(1) нь SSH сессээс ажилласан бол үйл явц бүр хэвлэгдэхэд өөр үйл явцыг бас үүсгэх учраас үргэлжилсэн аудитийн үйл явцууд их хэмжээгээр үүсэх болно. Энэ асуудлыг бий болгохгүйн тулд нарийн тохируулаагүй I/O аудит хийх сессээс praudit-ийг аудитийн хоолойны төхөөрөмж дээр ажиллуулахыг зөвлөж байна.

18.5.5. Аудит мөрийн файлуудыг эргүүлэх нь

Аудит мөрүүд нь зөвхөн цөмөөр бичигдэх бөгөөд auditd аудит дэмоноор удирдагддаг. Администраторууд аудит бүртгэлүүдийг шууд эргүүлэхдээ newsyslog.conf(5) эсвэл бусад хэрэгслүүдийг ашиглан хийх ёсгүй юм. Харин audit удирдах хэрэгслийг ашиглан аудитийг унтраах, аудит системийг дахин тохируулах, болон бүртгэлийг эргүүлэх үйлдлүүдийг хийх боломжтой байдаг. Дараах тушаал аудит дэмонг шинэ аудит бүртгэл үүсгэж цөмийг шинэ бүртгэл уруу шилжихийг дохино. Хуучин бүртгэл нь төгсөж нэр нь өөрчлөгдөх бөгөөд дараагаар түүнтэй администратор ажиллах боломж бүрдэнэ.

# audit -n

Хэрэв auditd дэмон ажиллахгүй байгаа бол энэ тушаал нь амжилтгүй болох бөгөөд алдааны мэдээлэл үүсгэнэ.

Дараах мөрийг /etc/crontab -д нэмснээр cron(8) -оос арван хоёр цаг тутам эргүүлэх болно:

0     */12       *       *       *       root    /usr/sbin/audit -n

Шинэ /etc/crontab -ийг хадгалсны дараа өөрчлөлт үйлчилж эхлэх болно.

Файлын хэмжээн дээр тулгуурласан аудитийн мөрийн файлыг автоматаар эргүүлэх нь audit_control(5) дахь filesz тохиргоогоор хийгдэх боломжтой бөгөөд гарын авлагын энэ бүлгийн тохиргооны файлуудын хэсэгт тайлбарласан болно.

18.5.6. Аудит мөрүүдийг шахах нь

Аудит мөрийн файлууд асар их болох тусам мөрүүдийг аудит дэмоноор хаалгасны дараа шахах эсвэл архивлах нь зүйтэй юм. audit_warn скрипт нь аудитийн мөрүүдийг эргүүлэх үеийн цэвэр төгсгөл зэрэг төрөл бүрийн аудиттай холбоотой үйл явцуудад зориулан өөрчилсөн үйлдлүүдийг гүйцэтгэхэд ашиглагдана. Жишээ нь хаагдах үед аудит мөрүүдийг шахах дараах кодыг audit_warn скриптэд нэмж болно:

#
# Compress audit trail files on close.
#
if [ "$1" = closefile ]; then
        gzip -9 $2
fi

Бусад архивлах идэвхүүдэд мөрийн файлуудыг төв сервер уруу хуулах, хуучин мөрийн файлуудыг устгах эсвэл хэрэггүй бичлэгүүдийг хасч аудит мөрийг багасгах зэрэг орж болно. Аудит мөрийн файлууд цэвэрхэн дууссан тохиолдолд скрипт ажиллана, тэгэхээр буруу унтраасны дараа дуусаагүй мөрүүд дээр ажиллахгүй.

Last modified on: 2024 оны гуравдугаар сарын 9 by Danilo G. Baio

Home