第 18 章 安全事件审计

原作 Tom RhodesRobert Watson.
目录
18.1. 概述
18.2. 本章中的一些关键术语
18.3. 安装审计支持
18.4. 对审计进行配置
18.5. 管理审计子系统

18.1. 概述

FreeBSD 中包含了对于细粒度安全事件审计的支持。 事件审计能够支持可靠的、 细粒度且可配置的, 对于各类与安全有关的系统事件, 包括登录、 配置变更, 以及文件和网络访问等的日志记录。 这些日志记录对于在正在运行的系统上实施监控、 入侵检测和事后分析都十分重要。 FreeBSD 实现了 Sun 所发布的 BSM API 和文件格式, 并且与 Sun™ 的 Solaris™ 和 Apple® 的 Mac OS® X 审计实现兼容。

这一章的重点是安装和配置事件审计。 它介绍了事件策略, 并提供了一个审计的配置例子。

读完这章, 您将了解:

  • 事件审计是什么, 以及它如何工作。

  • 如何在 FreeBSD 上为用户和进程配置事件审计。

  • 如何使用审计记录摘要和复审工具来对审计记录进行复审。

阅读这章之前, 您应该:

警告:

审计机制中存在一些已知的限制, 例如并不是所有与安全有关的系统事件都可以审计, 另外某些登录机制, 例如基于 X11 显示管理器, 以及第三方服务的登录机制, 都不会在用户的登录会话中正确配置审计。

安全审计机制能够对系统活动生成非常详细的记录信息: 在繁忙的系统中, 记帐数据如果配置不当会非常的大, 并在一周内迅速超过几个 GB 的尺寸。 管理员应考虑审计配置中的导致磁盘空间需求的这些问题。 例如, 可能需要为 /var/audit 目录单独分配一个文件系统, 以防止在审计日志所用的文件系统被填满时影响其它文件系统。

本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读 文档,如不能解决再联系 <questions@FreeBSD.org>.

关于本文档的问题请发信联系 <doc@FreeBSD.org>.